Параметры Диспетчера конфигураций

Диспетчер конфигураций приложения Google Cloud Directory Sync (GCDS) позволяет создавать и проверять файл конфигурации для синхронизации. Ниже описаны основные разделы этого инструмента.

Чтобы открыть Диспетчер конфигураций, выберите его в меню Пуск.

Развернуть все | Свернуть все

Подключение, уведомления и ведение журналов

Настройки подключения LDAP

На странице LDAP Configuration (Конфигурация LDAP) укажите сведения для подключения и аутентификации. Добавив все данные, нажмите Test connection (Проверить соединение). Если установить соединение не удалось, изучите следующие статьи:

Настройка Описание
Server type (Тип сервера) Тип сервера LDAP для синхронизации. Выберите тип, соответствующий вашему серверу. С разными типами серверов GCDS взаимодействует по-разному.
Connection type (Тип подключения)
Укажите необходимый тип соединения (с шифрованием или без).

Если ваш сервер LDAP поддерживает SSL-соединение или на вашем сервере под управлением Windows используется Microsoft Active Directory и включено подписывание LDAP, выберите LDAP+SSL и укажите верный номер порта (они приведены ниже). В противном случае выберите Standard LDAP (Стандартный протокол LDAP).

Имя хоста Введите доменное имя или IP-адрес сервера каталогов LDAP.

Пример: ad.example.com или 10.22.1.1.

Port (Порт)

Укажите порт хоста. Обычно используются перечисленные ниже варианты.

  • Стандартный протокол LDAP: порт 389.
  • LDAP через SSL: порт 636.

Примечание. Если вы работаете с Active Directory, то можете использовать порт 3268 (глобальный каталог) или 3269 (глобальный каталог через SSL).

Пример: 389

Authentication type (Тип аутентификации) Выберите необходимый тип аутентификации.

Если ваш сервер LDAP поддерживает анонимные соединения и вы хотите разрешить их, выберите вариант Anonymous (Анонимный). Если нет – укажите Simple (Простой).

Authorized user (Авторизованный пользователь) Введите имя пользователя, который будет подключаться к серверу. Этот пользователь должен быть осведомлен о существующих разрешениях и уполномочен на их использование по всему поддереву.

Если для входа также требуется домен, укажите его.

Пример: admin1

Password (Пароль) Введите пароль для авторизованного пользователя. Пароли хранятся в зашифрованном виде.

Пример: swordfishX23

Base DN (Базовое уникальное имя)

Введите базовое уникальное имя для поддерева, которое необходимо синхронизировать. После запятой не должно быть пробела. Если вы не знаете это имя, свяжитесь со своим администратором или посмотрите в LDAP-браузере.

Если оставить это поле пустым, поиск будет выполняться во всех доменах леса.

Пример: ou=test,ou=sales,ou=moscow,dc=ad,dc=example,dc=com

Атрибуты уведомлений

После синхронизации GCDS отправляет указанным пользователям письма, которые помогут им проверить синхронизацию и устранить проблемы. На странице Notifications (Уведомления) вы можете указать пользователей, которым будут отправляться уведомления, и настроить почтовый сервер.

Параметр Описание
SMTP Relay Host (Промежуточный узел SMTP)

Почтовый сервер SMTP для оповещений. GCDS использует его как промежуточный хост.

Пример:

  • 127.0.0.1
  • smtp.gmail.com
Use SMTP with TLS (Использовать SMTP с TLS)

Включите этот параметр, чтобы использовать SMTP с TLS (обязательно для smtp.gmail.com).

Поддерживаются следующие версии протокола TLS: 1.0, 1.1 и 1.2 (в GCDS 4.7.6 и более новых версий).

User Name (Имя пользователя)
Password (Пароль)
Если для аутентификации сервер SMTP требует имя пользователя и пароль, укажите их здесь.

Пример:

User Name: admin@solarmora.com
Password: ud6rTYX2!

From address (Адрес отправителя) Укажите адрес отправителя, который будет виден получателям уведомлений.

Пример: admin@solarmora.com

To addresses (recipients) (Адрес получателя)

Уведомления будут отправляться по всем адресам в этом списке. Чтобы ввести несколько адресов, нажмите Add (Добавить)

У приложения GCDS могут возникать проблемы при отправке писем на внешние электронные адреса (это зависит от настроек вашего почтового сервера). Чтобы проверить, отправляются ли уведомления на указанные адреса электронной почты, нажмите Test Notification (Проверить уведомления).

Пример: dirsync-admins@solarmora.com.

Use attachment (Использовать прикрепленный файл) Установите этот флажок, чтобы получать отчет о синхронизации по электронной почте в виде прикрепленного файла. Чтобы получать отчет в тексте электронного письма, снимите этот флажок.
Do not include in notifications (Не включать в уведомления (необязательно))

Вы можете ограничить виды информации, отправляемой в уведомлениях. Можно исключить следующее: 

  • Extra details (Дополнительные данные): например, список исключенных объектов.
  • Warnings (Предупреждения): сообщения с предупреждениями.
  • Errors (Ошибки): сообщения об ошибках.

Пример: настройка уведомлений для пользователей в своем аккаунте Google

Перед началом работы разрешите небезопасным приложениям доступ к аккаунту Google, с помощью которого выполняется аутентификация. Подробнее… 

  1. В поле SMTP Relay Host (Хост ретрансляции SMTP) введите smtp.gmail.com.
  2. Установите флажок Use SMTP with TLS (Использовать SMTP с TLS).
  3. В поле User Name (Имя пользователя) введите адрес электронной почты своего аккаунта Google. 
  4. В поле Password (Пароль) введите свой пароль.
  5. Если вы используете двухэтапную аутентификацию, вам нужно создать пароль приложения. Подробнее…
  6. В поле From address (Адрес отправителя) введите адрес, который будет использоваться в качестве отправителя уведомлений. 
  7. В поле To addresses (Адреса получателей) введите адреса пользователей, которые будут получать отчеты GCDS. Чтобы ввести несколько адресов, нажмите Add (Добавить).
  8. Если подключение по протоколу SMTP не работает, для установления причины используйте программу для захвата сетевого трафика (например, Wireshark).
Настройки журнала

На странице Logging (Журнал) настройте необходимые параметры.

 
Настройка Описание
File name (Название файла) Введите название файла и каталога для журнала или нажмите Browse (Просмотр) и найдите нужный файл.

Пример: sync.log

Вы также можете добавить метку-заполнитель #{timestamp} к названию файла. При каждом выполнении она заменяется фактической временной меткой (например, 20190501-104023) перед сохранением файла журнала на диск.

При использовании метки-заполнителя приложение GCDS создает файл журнала всякий раз, когда оно моделирует или выполняет синхронизацию. Через 30 дней файл журнала удаляется.

Пример: sync.#{timestamp}.log

Если синхронизация выполнялась 01.05.2019 в 10:40:23, название файла будет следующим: sync.20190501-104023.log.

Log level (Уровень ведения журнала) Укажите уровень детализации журнала. Выберите один из перечисленных ниже вариантов.
  • FATAL. Регистрируются данные о критических операциях.
  • ERROR. Регистрируются данные об ошибках и критических операциях.
  • WARN. Регистрируются данные о предупреждениях, ошибках и критических операциях.
  • INFO. Регистрируются сводные данные.
  • DEBUG. Регистрируется более подробная информация.
  • TRACE. Регистрируется вся возможная информация.

Уровни детализации являются кумулятивными: каждый уровень содержит данные предыдущего. Например, на уровне ERROR регистрируются сообщения и об ошибках, и о критических операциях уровня FATAL.

Maximum log size (Максимальный размер журнала)

Максимальный размер файла журнала в мегабайтах.

Включает объем всех файлов резервных копий и текущего файла. Количество файлов резервных копий определяется атрибутом числа файлов журнала (см. ниже).

Максимальный размер файла журнала рассчитывается так: максимальный размер журнала / (число файлов журнала + 1).

Пример: 500

Log file count (Число файлов журнала)

 

Количество сохраняемых файлов журнала. Значение по умолчанию – 10.

Примечание. Этот параметр можно изменить только в файле конфигурации в строке с тегом <logFileCount>.

Пользователи

Настройки атрибутов пользователя

На странице User Accounts (Аккаунты пользователей) укажите, с помощью каких атрибутов GCDS будет формировать список пользователей LDAP.

 
Настройка Описание
Email address attribute (Атрибут адреса электронной почты) Атрибут LDAP, который содержит основной адрес электронной почты пользователя. Значение по умолчанию – mail.

Пример: mail

(Необязательно) Unique identifier attribute (Атрибут уникального идентификатора) Атрибут LDAP, который содержит уникальный идентификатор для каждого объекта пользователя на вашем сервере LDAP. С его помощью GCDS обнаруживает, когда на сервере LDAP происходит переименование пользователей, и синхронизирует эти изменения с доменом Google. Мы рекомендуем заполнять это поле, но это необязательно.

Пример: objectGUID

(Необязательно) Alias address attributes (Атрибуты псевдонима адреса электронной почты) Один или несколько атрибутов для хранения псевдонимов электронных адресов. Эти адреса добавляются в домен Google в качестве псевдонимов основного адреса, указанного в поле Email address attribute (Атрибут адреса электронной почты). Введите адрес и нажмите Add (Добавить)

Пример: proxyAddresses

Если оставить это поле пустым, после синхронизации с GCDS псевдоним электронной почты, связанный с профилем пользователя Google, не удаляется. Им по-прежнему можно управлять в настройках Google.
 

Google domain users deletion/suspension policy (Правила удаления и блокировки пользователей домена Google) Правила, определяющие условия для удаления или блокировки пользователей. 
  • Delete only active Google Domain users not found in LDAP (suspended users are retained) (Удалять только активных пользователей домена Google, не найденных на сервере LDAP; заблокированные пользователи сохраняются): если активный пользователь домена Google не зарегистрирован на вашем сервере LDAP, он удаляется. Заблокированные ранее пользователи остаются без изменений. Это вариант по умолчанию.
  • Delete active and suspended users not found in LDAP (Удалять активных и заблокированных пользователей, не найденных на сервере LDAP): если пользователи домена Google (как активные, так и заблокированные) не зарегистрированы на вашем сервере LDAP, они удаляются.
  • Suspend Google users not found in LDAP, instead of deleting them (Блокировать пользователей Google, не найденных на сервере LDAP): если активный пользователь домена Google не зарегистрирован на вашем сервере LDAP, он блокируется. Заблокированные ранее пользователи остаются без изменений.
  • Don’t suspend or delete Google domain users not found in LDAP (Не блокировать и не удалять пользователей домена Google, не найденных на сервере LDAP): ни один пользователь в вашем домене Google не будет заблокирован или удален (если только вы не задали правило поиска, согласно которому определенные пользователи будут заблокированы).
Don’t suspend or delete Google admins not found in LDAP (Не блокировать и не удалять аккаунты администраторов, не найденные на сервере LDAP) Если установлен этот флажок (вариант по умолчанию), GCDS не блокирует и не удаляет аккаунты администраторов, существующие в домене Google, но не зарегистрированные на сервере LDAP.
Дополнительные атрибуты пользователей

Это дополнительные атрибуты LDAP (например, пароли), которые понадобятся вам при импорте дополнительных сведений о пользователях Google. Укажите их на странице User Accounts (Аккаунты пользователей).

 
Настройка Описание
Given Name Attribute(s) (Атрибуты имени) Атрибут LDAP, который содержит имя сотрудника, синхронизируемое с именем пользователя в домене Google.

Можно использовать несколько атрибутов. В этом случае название поля каждого атрибута заключается в квадратные скобки.

Примеры: givenName, [cn]-[ou]

Family Name Attribute(s) (Атрибуты фамилии) Атрибут LDAP, который содержит фамилию сотрудника, синхронизируемую с фамилией пользователя в домене Google.

Примеры: surname, [cn]-[ou]

Synchronize passwords (Синхронизировать пароли) Этот параметр определяет, какие пароли синхронизирует GCDS. Если вы используете Active Directory или HCL Domino, изучите примечание для параметра Password Encryption Method (Метод шифрования пароля). Выберите один из следующих вариантов:
  • Only for new users (Только для новых пользователей): при создании нового пользователя GCDS синхронизирует его пароль. Существующие пароли не синхронизируются. Используйте этот параметр, чтобы разрешить пользователям управлять своими паролями в домене Google. Примечание. Этот вариант следует выбрать и в том случае, если вы задаете временные или одноразовые пароли для новых пользователей.
  • For new and existing users (Для новых и существующих пользователей): GCDS синхронизирует все пароли пользователей. Существующие в домене Google пароли перезаписываются. Этот вариант удобен для управления паролями на сервере LDAP, но менее эффективен, чем следующий вариант.
  • Only changed passwords (Только измененные пароли): GCDS синхронизирует только те пароли, которые были изменены с момента последней синхронизации. Рекомендуем выбрать этот вариант, если вы хотите управлять паролями пользователей на сервере LDAP. Примечание. Вам также будет необходимо указать значение для параметра Password timestamp attribute (Атрибут временной метки пароля).
Password Attribute (Атрибут пароля) Атрибут LDAP, который содержит пароль пользователя. Если этот атрибут задан, пароли пользователей в Google синхронизируются с их паролями на сервере LDAP. Это поле может содержать как текстовые, так и двоичные данные.

Пример: CustomPassword1

Password Timestamp Attribute (Атрибут временной метки пароля) Атрибут LDAP, который содержит метку о времени последнего изменения пароля. Каждый раз, когда пользователь меняет пароль, ваш сервер LDAP обновляет этот атрибут. Используйте это поле, если вы выбрали вариант Only changed passwords (Только измененные пароли) для настройки Synchronize passwords (Синхронизировать пароли). В это поле допустим ввод текстовых данных.

Пример: PasswordChangedTime

Password Encryption Method (Метод шифрования пароля) Алгоритм шифрования, который использует атрибут пароля. Выберите один из следующих вариантов:
  • SHA1. Пароли на вашем сервере каталогов LDAP хешируются с использованием алгоритма SHA1 (без соли).
  • MD5. Пароли на вашем сервере каталогов LDAP хешируются с использованием алгоритма MD5 (без соли).
  • Base64. Пароли на вашем сервере каталогов LDAP кодируются по алгоритму Base64.
  • Plaintext (Обычный текст). Пароли на сервере каталогов LDAP не шифруются. В этом случае GCDS читает атрибут пароля как незашифрованный текст, сразу же кодирует его с использованием алгоритма SHA1, а затем синхронизирует с доменом Google.

Примечание. GCDS никогда не сохраняет, не отправляет и не хранит в журналах незашифрованные пароли. Если пароли в каталоге LDAP зашифрованы в кодировке Base64 или представлены в виде обычного текста, GCDS сразу же шифрует их с использованием алгоритма SHA1, а затем синхронизирует с доменом Google. В журналы моделирования синхронизации и полной синхронизации пароли заносятся в формате SHA1.

Заполните это поле, если вы также указали атрибут пароля. Если вы оставите поле Password Attribute (Атрибут пароля) пустым, после сохранения и перезагрузки настройка конфигурации изменится на SHA1 (по умолчанию). Обратите внимание, что некоторые форматы шифрования пароля не поддерживаются. Чтобы узнать или изменить метод шифрования пароля, зайдите на сервер каталогов LDAP с помощью браузера каталогов.

По умолчанию серверы Active Directory и HCL Domino (ранее IBM Domino) не хранят пароли в этих форматах. В этом случае рекомендуем использовать вариант установки пароля по умолчанию для новых пользователей. Тогда при первом входе в систему они получат запрос на изменение пароля.

Force new users to change password (Принудительное изменение пароля для новых пользователей) Если задать этот параметр, система предложит пользователям сменить пароль при первом входе в домен Google. В этом случае вы сможете установить начальный пароль с помощью атрибута LDAP или пароля по умолчанию для новых пользователей.

Используйте этот параметр в таких случаях:

  • Вы используете временные или одноразовые пароли.
  • Вы не задали атрибут в поле Password Attribute (Атрибут пароля) или Default password for new users (Пароль по умолчанию для новых пользователей).
Default password for new users (Пароль по умолчанию для новых пользователей) Введите текст, который будет служить паролем по умолчанию для новых пользователей. GCDS использует это значение, если для пользователя не задан пароль в атрибуте пароля.

Важно! Указав здесь пароль по умолчанию, обязательно установите флажок Force new users to change password (Принудительное изменение пароля для новых пользователей), чтобы это значение не сохранилось для пользователей в качестве основного пароля.

Пример: swordfishX2!

Generated password length (Длина пароля) Укажите здесь количество знаков для случайно генерируемых паролей. Если пароль пользователя не найден на сервере LDAP или вы не указали его по умолчанию, он генерируется случайным образом.
Правила поиска пользователей

Откройте вкладку Search rule (Правило поиска) на странице User Accounts (Аккаунты пользователей) и добавьте правила поиска. Подробная информация об этом приведена в статье Использование правил поиска LDAP для синхронизации данных.

 
Поля Описание
Place users in the following Google domain Org Unit (Поместить пользователей в следующее организационное подразделение домена Google)

Укажите, к какому организационному подразделению домена Google следует отнести пользователей, соответствующих этому правилу. Если такого подразделения нет, GCDS добавляет пользователей в организацию корневого уровня.

Эта настройка доступна только в том случае, если на странице Org Units (Организационные подразделения) вы включили параметр Sync LDAP Org Units (Синхронизировать организационные подразделения LDAP) или Do not create or delete Google Organizations, but move users between existing Organizations (Не создавать и не удалять организации Google; перемещать пользователей между существующими).

Возможны следующие варианты:

  • Org Unit based on Org Units Mappings and DN (Подразделение на основе сопоставления организационных подразделений и различающегося имени). Эта настройка показывает, что вы включили параметр Sync LDAP Org Units (Синхронизировать организационные подразделения LDAP) на странице General Settings (Общие настройки). Пользователи будут отнесены к подразделению, сопоставленному с уникальным именем пользователя на вашем сервере LDAP. Это делается на основе сопоставления организационных подразделений. В списке синхронизации пользователей LDAP появится соответствующая запись: [derived].
  • Org Unit Name (Имя организационного подразделения). Все пользователи, соответствующие этому правилу, добавляются в одно организационное подразделение Google. В текстовом поле укажите название подразделения.

    Пример: Users

  • Org Unit name defined by this LDAP attribute (Имя организационного подразделения определяется этим атрибутом LDAP). Добавьте пользователей в подразделение с названием, соответствующим атрибуту на сервере каталогов LDAP. В текстовом поле введите атрибут.

    Пример: extensionAttribute11

Suspend these users in Google domain (Блокировать этих пользователей в домене Google)

Блокировать всех пользователей, соответствующих этому правилу LDAP.

Примечания

  • GCDS заблокирует или удалит пользователей, которые уже существуют в домене Google, следуя заданному правилу удаления/блокирования аккаунтов пользователей GCDS.
  • GCDS заново активирует аккаунты заблокированных вами пользователей, если они соответствуют правилам поиска, для которых не включен параметр блокировать пользователей.
  • Эта функция обычно используется для поэтапного добавления аккаунтов в домен. При этом новые пользователи создаются в заблокированном состоянии. Если вы импортируете активных пользователей с помощью этого правила, не устанавливайте этот флажок.
Scope (Область применения)
Rule (Правило)
Base DN (Базовое уникальное имя)
Подробное описание этих полей приведено в статье Использование правил поиска LDAP для синхронизации данных.
Атрибуты профиля пользователя

На странице User Profiles (Профили пользователей) укажите атрибуты, с помощью которых GCDS будет создавать профили пользователей на LDAP-сервере.

Настройка Описание
Primary email (Основной адрес электронной почты) Атрибут LDAP, который содержит основной электронный адрес сотрудника. Как правило, он совпадает с адресом, указанным в разделе LDAP Users (Пользователи LDAP).
Job title (Должность) Атрибут LDAP, который содержит название должности сотрудника на основном месте работы. 
Company name (Название компании) Атрибут LDAP, который содержит название организации сотрудника (основного места работы). 
Assistant’s DN (Уникальное имя ассистента) Атрибут LDAP, который содержит уникальное имя ассистента сотрудника.
Manager’s DN (Уникальное имя руководителя) Атрибут LDAP, который содержит уникальное имя непосредственного руководителя сотрудника.
Department (Отдел) Атрибут LDAP, который содержит название отдела сотрудника на основном месте работы. 
Office location (Местоположение офиса) Атрибут LDAP, который содержит местоположение офиса сотрудника (основного места работы). 
Cost center (Центр затрат) Атрибут LDAP, который содержит информацию центра учета затрат организации сотрудника (основного места работы).
Building ID (Идентификатор здания)

Атрибут LDAP, который содержит идентификатор здания, в котором работает сотрудник. Для него также можно задать значение Working remotely (Удаленная работа), если пользователь работает за пределами здания компании.

Администраторы могут разрешить пользователям самостоятельно указывать рабочий адрес. Подробная информация изложена в статье Как разрешить пользователям изменять свою фотографию и данные в профиле.

Floor Name (Название этажа) Атрибут LDAP, в котором указан этаж, где находится офис сотрудника.
Employee ids (Идентификатор сотрудника) Атрибут LDAP, который содержит идентификационный номер сотрудника.
Additional email (Дополнительный адрес электронной почты)

Атрибут LDAP, который содержит дополнительные адреса электронной почты пользователя. В этом поле можно указать несколько значений.

Примечание. Это поле поддерживает синхронизацию только для рабочих электронных адресов.

Websites (Сайты)

Атрибут LDAP, который содержит URL сайта пользователя. В этом поле можно указать несколько значений.

Проверка URL выполняется с помощью такого регулярного выражения:

^((((https?|ftps?|gopher|telnet|nntp)://)|(mailto:|news:))(%[0-9A-Fa-f]{2}|[-()_.!~*';/?:@&=+$,A-Za-z0-9])+)([).!';/?:,][[:blank:]])?$]]>

Недействительные URL пропускаются.

Recovery email (Резервный адрес электронной почты) Атрибут LDAP, который содержит резервный адрес электронной почты сотрудника.
Recovery phone (Резервный номер телефона)

Атрибут LDAP, который содержит резервный номер телефона сотрудника. Этот номер нужно указать в формате международного стандарта E.164 со знаком плюса (+) в начале.

Атрибут можно задать в виде выражения, используя квадратные скобки. Это позволяет включить дополнительные символы.

Примеры:

  • +[ldap-attribute] добавляет знак плюс перед значением атрибута.
  • +41[ldap-attribute] добавляет знак плюс и код страны перед значением атрибута.
Work phone numbers (Номер рабочего телефона) Атрибут LDAP, который содержит номер рабочего телефона сотрудника.
Home phone numbers (Номер домашнего телефона) Атрибут LDAP, который содержит номер домашнего телефона сотрудника.
Fax phone numbers (Номер факса) Атрибут LDAP, который содержит номер факса сотрудника.
Mobile phone numbers (Номер мобильного телефона) Атрибут LDAP, который содержит номер личного мобильного телефона сотрудника.
Work mobile phone numbers (Номер рабочего мобильного телефона) Атрибут LDAP, который содержит номер рабочего мобильного телефона сотрудника.
Assistant’s Number (Номер телефона ассистента) Атрибут LDAP, который содержит номер рабочего телефона ассистента сотрудника.
Street Address (Адрес) Атрибут LDAP, который содержит основной рабочий адрес с указанием улицы и номера дома.
P.O. Box (Номер почтового ящика) Атрибут LDAP, который содержит номер почтового ящика основного рабочего адреса сотрудника.
City (Город) Атрибут LDAP, который содержит название города, где находится основное место работы сотрудника.
State/Province (Область/край) Атрибут LDAP, который содержит название области или края, где находится основное место работы сотрудника.
ZIP/Postal Code (Почтовый индекс) Атрибут LDAP, который содержит почтовый индекс основного места работы сотрудника.
Country/Region (Страна/регион) Атрибут LDAP, который содержит название страны или региона, где находится основное место работы сотрудника.
POSIX UID Атрибут LDAP, который содержит идентификатор пользователя, соответствующий стандарту Portable Operating System Interface (POSIX).
POSIX GID Атрибут LDAP, который содержит идентификатор группы, соответствующий стандарту POSIX.
POSIX username (Имя пользователя POSIX) Атрибут LDAP, который содержит имя пользователя аккаунта.
POSIX home directory (Домашний каталог POSIX) Атрибут LDAP, который содержит путь к домашнему каталогу аккаунта.
POSIX user account attributes

Specifies what user account attributes that you can edit using the directory API.

Note: After a successful sync the POSIX attribute won't be displayed on the Admin console under user information.

Posix user account attributes Description
username The user's primary email address, alias email address, or unique user ID.
uid The user ID on the instance for this user. This property must be a value between 1001 - 60000, or a value between 65535 - 2147483647. To access a container-optimized OS, the UID must have a value between 65536 - 214748646. The UID must be unique within your organization.
gid The group ID on the instance that this user belongs to.
homeDirectory The home directory on the instance for this user: /home/example_username.

Организационные подразделения

Сопоставление организационных подразделений

На странице Org Units (Организационные подразделения) сопоставьте подразделения на сервере LDAP с подразделениями вашего домена Google.

После этого GCDS автоматически сопоставит подразделения более низких уровней в LDAP с одноименными подразделениями в Google. Чтобы переопределить сопоставление дочерних организаций, создайте соответствующие правила.

Проще всего сопоставить корневое организационное подразделение LDAP (как правило, это базовое уникальное имя) с каталогом "/" (корневой организацией в домене Google). GCDS сопоставит пользователей и дочерние организации в домене Google на основе организационной структуры на сервере LDAP. При этом вам всё же потребуется настроить правила поиска, чтобы приложение GCDS сформировало дочерние организации в домене Google.

Чтобы создать правило поиска, нажмите Add mapping (Добавить сопоставление).

Настройка Описание
(LDAP) Distinguished Name (DN) (Для LDAP: уникальное имя (DN)) Уникальное имя (DN) сопоставляемого каталога на сервере LDAP.

Пример: ou=moscow,dc=ad,dc=example,dc=com

(Google domain) Name (Для домена Google: название) Название сопоставляемого организационного подразделения в домене Google. Чтобы добавить пользователей в организацию Google по умолчанию, введите одну косую черту (/).

Пример: Moscow

Пример: сопоставление нескольких местоположений

Предположим, иерархия организационной структуры на сервере LDAP включает два основных офиса: в Москве и Санкт-Петербурге. Иерархия подразделений домена Google будет ей соответствовать.

  • Первое правило:
    • Для LDAP: уникальное имя – ou=moscow,dc=ad,dc=example,dc=com
    • Для домена Google: название – Moscow
  • Второе правило:
    • Для LDAP: уникальное имя – ou=saintpetersburg,dc=ad,dc=example,dc=com
    • Для домена Google: название – Saint Petersburg


Пример. Сопоставление организационного подразделения LDAP с корневым организационным подразделением в домене Google

  • Для LDAP: уникальное имя – ou=corp,dc=ad,dc=example,dc=com
  • Для домена Google: название: /


Пример. Сопоставление организационного подразделения LDAP с организационным подразделением первого уровня в домене Google

  • Для LDAP: уникальное имя – ou=saintpetersburg,ou=corp,dc=ad,dc=example,dc=com
  • Для домена Google: название – Saint Petersburg


Пример. Сопоставление организационного подразделения LDAP с организационным подразделением второго уровня в домене Google

  • Для LDAP: уникальное имя – ou=saintpetersburg personal,ou=saintpetersburg,ou=corp,dc=ad,dc=example,dc=com
  • Для домена Google: название – Saint Petersburg/Saint Petersburg Personal
Правила поиска для организационных подразделений

На странице Org Units (Организационные подразделения) укажите соответствующие правила поиска для подразделений LDAP.

Настройка Описание
(Необязательно) Org Unit description attribute (Атрибут описания организационного подразделения) Атрибут LDAP, которые содержит описание каждого организационного подразделения. Если оставить это поле пустым, у создаваемого подразделения не будет описания.

Пример: описание

Scope (Область применения)
Rule (Правило)
Base DN (Базовое уникальное имя)
Подробное описание этих полей приведено в статье Использование правил поиска LDAP для синхронизации данных.
Управление организационными подразделениями

На вкладке LDAP Org Units Mappings (Сопоставления организационных подразделений LDAP) страницы Org Units (Организационные подразделения) укажите, каким образом следует управлять организационными подразделениями вашего домена Google.

Настройка для организационных подразделений Описание
Don’t delete Google Organizations not found in LDAP (Не удалять организации Google, не найденные на сервере LDAP)

Если этот флажок установлен, организационные подразделения домена Google сохраняются при синхронизации, даже если их нет на вашем сервере LDAP.

Don't create or delete Google Organizations, but move users between existing Organizations (Не создавать и не удалять организации Google; перемещать пользователей между существующими)

Если этот флажок установлен, организационные подразделения домена Google не будут синхронизироваться с сервером LDAP, но вы сможете добавлять пользователей в существующие организационные подразделения в домене Google с помощью правил поиска.

Если снять этот флажок, GCDS добавит и удалит организационные подразделения в домене Google в соответствии с организационной структурой вашего сервера LDAP и теми сопоставлениями, которые вы указали.

Группы

Правила поиска для групп

Чтобы синхронизировать в Google Группах один или несколько списков рассылки, откройте страницу Groups (Группы), нажмите Add Search Rule (Добавить правило поиска) и отметьте необходимые поля в диалоговом окне.

 
Настройка Описание
Scope (Область применения)
Rule (Правило)
Base DN (Базовое уникальное имя)
Подробное описание этих полей приведено в статье Использование правил поиска LDAP для синхронизации данных.
Group email address attribute (Атрибут адреса электронной почты группы) Атрибут LDAP, который содержит электронный адрес группы. Он будет использоваться в домене Google.

Пример: mail

Group display name attribute (Атрибут отображаемого названия группы) Атрибут LDAP, который содержит отображаемое название группы. Он используется для описания, вводить действительный адрес электронной почты необязательно.
(Необязательно) Group description attribute (Атрибут описания группы) Атрибут LDAP, который содержит полный текст описания группы. Он будет использоваться в домене Google.

Пример: extendedAttribute6

User email address attribute (Атрибут адреса электронной почты пользователя) Атрибут LDAP, который содержит электронные адреса пользователей. Он нужен для получения адресов электронной почты пользователей и владельцев группы (с учетом их уникальных имен).

Пример: mail

Group object class attribute (Атрибут класса объекта группы)

Значение класса объекта LDAP для групп. С его помощью можно различать участников-пользователей и участников-группы (так называемые "вложенные группы").

Пример: group

Dynamic (Query-based) group? (Динамическая группа на основе запроса?) Если этот параметр включен, все списки рассылки, соответствующие этому правилу, считаются динамическими группами (на основе запроса), а значение атрибута ссылки участника группы является запросом, определяющим членство в группе.

Установите этот флажок, если вы создаете правило поиска для динамических групп рассылки Exchange.

Примечание. Если вы вручную включаете параметр DYNAMIC_GROUPS в XML-файле конфигурации, но не задаете параметр INDEPENDENT_GROUP_SYNC, правило для динамической группы должно быть первым. Подробная информация приведена в статье Устранение неполадок в GCDS.

Member reference attribute (Атрибут ссылки участника группы)
(заполните это поле или задайте Member literal attribute (Атрибут литерала участника группы))
Если флажок Dynamic (Query-based) group (Динамическая группа на основе запроса) не установлен, значение в этом поле должно указывать на атрибут LDAP, содержащий уникальные имена участников списка рассылки на сервере LDAP.

GCDS находит адреса электронной почты этих участников и добавляет их в группу в домене Google.

Если флажок Dynamic (Query-based) group (Динамическая группа на основе запроса) установлен, это значение должно указывать на атрибут LDAP, содержащий фильтр, который GCDS использует для определения участия в группе.

Пример (нединамическая группа): memberUID

Пример (динамическая группа): msExchDynamicDLFilter

Member literal attribute (Атрибут литерала участника группы)
(заполните это поле или задайте Member reference attribute (Атрибут ссылки участника группы))
Атрибут, который содержит полные адреса электронной почты участников списка рассылки на сервере каталогов LDAP. GCDS добавляет этих участников в группу в домене Google.

Пример: memberaddress

Dynamic group Base DN attribute (Атрибут базового уникального имени динамической группы) Если флажок Dynamic (Query-based) group (Динамическая группа на основе запроса) установлен, в этом поле необходимо указать атрибут LDAP, содержащий базовое уникальное имя, на основе которого выполняется запрос, указанный в поле Member reference attribute (Атрибут ссылки участника группы).

Принадлежность к динамической группе в Exchange и GCDS определяется с помощью запроса LDAP. В поле Member reference attribute (Атрибут ссылки участника группы) содержится запрос LDAP, а значение в поле Dynamic group Base DN attribute (Атрибут базового уникального имени динамической группы) содержит базовое уникальное имя, по которому этот запрос будет выполнен.

Пример:

dn: CN=MyDynamicGroup,OU=Groups,DC=altostrat,DC=com
mail: mydynamicgroup@altostrat.com
member: msExchDynamicDLFilter: (|(CN=oleg.smirnov,OU=Users,DC=altostrat,DC=com)| (CN=olga.dubova,OU=Users,DC=altostrat,DC=com)) msExchDynamicDLBaseDN: OU=Users,DC=altostrat,DC=com

Обратите внимание, что атрибут member, который обычно используется для перечисления участников группы, оставлен пустым, зато добавлен запрос LDAP, который найдет пользователей oleg.smirnov и olga.dubova в организационном подразделении Users.

(Необязательно) Owner reference attribute (Атрибут ссылки владельца группы) Атрибут, который содержит уникальное имя владельца группы.

GCDS находит адреса электронной почты владельцев списков рассылки и добавляет их в качестве адресов владельцев групп в домене Google.

Пример: ownerUID

(Необязательно) Owner literal attribute (Атрибут литерала владельца группы) Атрибут, который содержит полный адрес электронной почты владельца группы.

GCDS добавляет этот адрес как владельца группы в домене Google.

Пример: owner

Правила поиска для групп (префикс и суффикс)

Иногда требуется, чтобы приложение GCDS добавило префикс или суффикс к значению атрибута, который указан на LDAP-сервере для адреса электронной почты списка рассылки или электронных адресов его участников. Префиксы и суффиксы задаются на вкладке Prefix-Suffix (Префикс и суффикс) страницы Groups (Группы).

Настройка Описание
Group email address—prefix (Адрес электронной почты группы – префикс) Текст перед адресом электронной почты списка рассылки при создании связанного электронного адреса группы.

Пример: groups-

Group email address—suffix (Адрес электронной почты группы – суффикс) Текст после адреса электронной почты списка рассылки при создании связанного электронного адреса группы.

Пример: -list

Invalid characters replacement (Замена недопустимых символов) Если название списка рассылки содержит пробелы или другие недопустимые символы, они будут заменены текстом, который вы введете в этом поле. Если его оставить пустым, GCDS удалит пробелы и соединит названия групп. Подробнее о недопустимых символах… 

Пример: _ (символ подчеркивания)

Member name—prefix (Имя участника – префикс) Текст перед адресом электронной почты участника списка рассылки при создании связанного электронного адреса участника группы.
Member name—suffix (Имя участника – суффикс) Текст после адреса электронной почты участника списка рассылки при создании связанного электронного адреса участника группы.
Owner name—prefix (Имя владельца – префикс) Текст перед адресом электронной почты владельца списка рассылки при создании связанного электронного адреса владельца группы.
Owner name—suffix (Имя владельца – суффикс) Текст после адреса электронной почты владельца списка рассылки при создании связанного электронного адреса владельца группы.
Политика настройки роли менеджера

На вкладке Search rules (Правила поиска) страницы Groups (Группы) укажите, как роль менеджера будет синхронизироваться для Google Групп.

Примечания 

  • Active Directory не поддерживает роль менеджера группы. Порядок синхронизации роли менеджера Google Групп при использовании GCDS описан ниже. 
  • GCDS не инициализирует роли менеджера в процессе синхронизации.
Настройки Описание
Skip managers from sync (Пропускать менеджеров при синхронизации) Роли менеджеров игнорируются при синхронизации. GCDS при этом не изменяет роль.
Keep managers (Сохранять менеджеров) Если в данных LDAP не указано, что пользователю назначена роль владельца или участника, роль менеджера в Google сохраняется. Роль менеджера в Google будет удалена и заменена, если в данных LDAP указано, что пользователю присвоена роль владельца или участника.
Sync managers based on LDAP server (Синхронизировать менеджеров на основе данных сервера LDAP) Роль менеджера в Google будет удалена и заменена, если в данных LDAP указано, что пользователю присвоена роль владельца или участника. Если в данных LDAP нет записей о том, что пользователь является участником группы, он будет удален из группы Google (даже при наличии роли менеджера).
Правила удаления в Google Группах

На вкладке Search rules (Правила поиска) страницы Groups (Группы) укажите правила управления группами Google.

Настройка правил удаления групп Описание
Don’t delete Google Groups not found in LDAP (Не удалять группы Google, не найденные на сервере LDAP) Если этот флажок установлен, удаление групп Google в вашем домене Google отключено и не выполняется даже для тех групп, которые не найдены на сервере LDAP.

Контакты и календари

Атрибуты общих контактов

На странице Shared Contacts (Общие контакты) укажите атрибуты, с помощью которых GCDS будет формировать список общих контактов LDAP.

 
Атрибут Описание
Sync key (Ключ синхронизации) Атрибут LDAP, который содержит уникальный идентификатор контакта. Следует выбрать такие данные, которые являются уникальными для каждого контакта, но в то же время присущи всем контактам и не будут меняться. Текст, введенный в это поле, станет идентификатором контакта.

Пример: dn или contactReferenceNumber

Full name (Полное имя) Один или несколько атрибутов LDAP, которые содержат полное имя контакта.

Пример: [префикс] - [имя] [фамилия] [суффикс]

Job title (Должность) Атрибут LDAP, который содержит название должности сотрудника. Это поле может состоять из нескольких полей, объединенных между собой с помощью такого же синтаксиса, как и в атрибуте Full Name.
Company name (Название компании) Атрибут LDAP, который содержит название организации сотрудника.
Assistant’s DN (Уникальное имя ассистента) Атрибут LDAP, который содержит уникальное имя ассистента сотрудника.
Manager’s DN (Уникальное имя руководителя) Атрибут LDAP, который содержит уникальное имя непосредственного руководителя сотрудника.
Department (Отдел) Атрибут LDAP, который содержит название отдела сотрудника. Это поле может состоять из нескольких полей, объединенных между собой с помощью такого же синтаксиса, как и в атрибуте Full Name.
Office location (Местоположение офиса) Атрибут LDAP, который содержит данные о местоположении офиса. Это поле может состоять из нескольких полей, объединенных между собой с помощью такого же синтаксиса, как и в атрибуте Full Name.
Work email address (Рабочий адрес электронной почты) Атрибут LDAP, который содержит электронный адрес сотрудника.
Employee ids (Идентификатор сотрудника) Атрибут LDAP, который содержит идентификационный номер сотрудника.
Work phone numbers (Номер рабочего телефона) Атрибут LDAP, который содержит номер рабочего телефона сотрудника.
Home phone numbers (Номер домашнего телефона) Атрибут LDAP, который содержит номер домашнего телефона сотрудника.
Fax numbers (Номер факса) Атрибут LDAP, который содержит номер факса сотрудника.
Mobile phone numbers (Номер мобильного телефона) Атрибут LDAP, который содержит номер личного мобильного телефона сотрудника.
Work mobile phone numbers (Номер рабочего мобильного телефона) Атрибут LDAP, который содержит номер рабочего мобильного телефона сотрудника.
Assistant’s Number (Номер телефона ассистента) Атрибут LDAP, который содержит номер рабочего телефона ассистента сотрудника.
Street Address (Адрес) Атрибут LDAP, который содержит основной рабочий адрес с указанием улицы и номера дома.
P.O. Box (Номер почтового ящика) Атрибут LDAP, который содержит номер почтового ящика основного рабочего адреса сотрудника.
City (Город) Атрибут LDAP, который содержит название города, где находится основное место работы сотрудника.
State/Province (Область/край) Атрибут LDAP, который содержит название области или края, где находится основное место работы сотрудника.
ZIP/Postal Code (Почтовый индекс) Атрибут LDAP, который содержит почтовый индекс основного места работы сотрудника.
Country/Region (Страна/регион) Атрибут LDAP, который содержит название страны или региона, где находится основное место работы сотрудника.
Атрибуты ресурсов календаря

На странице Calendar Resources (Ресурсы календаря) укажите атрибуты, с помощью которых GCDS будет формировать список ресурсов календаря LDAP.

 
Настройка Описание
Resource Id (Идентификатор ресурса) Атрибут LDAP, который содержит идентификатор ресурса календаря. Это поле, управление которым осуществляется в системе LDAP, может быть настраиваемым атрибутом. Вводимые данные должны быть уникальны.

Важно! В ресурсах календаря не синхронизируются атрибуты, которые содержат пробел или недопустимые знаки, например двоеточие или символ @.

Ознакомьтесь с рекомендациями по назначению названий ресурсам.

(Необязательно) Display Name (Отображаемое имя)

Атрибут LDAP, который содержит имя для ресурса календаря. 

Пример:

[building]-[floor]-Boardroom-[roomnumber]

В этом примере building, floor и roomnumber – атрибуты LDAP. После синхронизации эти атрибуты заменяются подходящим значением, например Main-12-Boardroom-23.

(Необязательно) Description (Описание) Атрибут LDAP, который содержит описание ресурса календаря.

Пример: [описание]

(Необязательно) Resource Type (Тип ресурса) Атрибут LDAP, который содержит данные о типе ресурса календаря.

Важно! В ресурсах календаря не синхронизируются атрибуты, которые содержат пробелы, двоеточия и символы @.

(Необязательно) Mail (Почта) Атрибут LDAP, который содержит адрес электронной почты ресурса календаря. Этот атрибут следует использовать только в сочетании с параметром экспорта CSV-файлов Export Calendar resource mapping (Экспортировать сопоставление ресурсов календаря). GCDS не задает электронные адреса для ресурсов Google Календаря.
(Необязательно) Export Calendar resource mapping (Экспортировать сопоставление ресурсов календаря) Этот атрибут позволяет создать список ресурсов календаря LDAP и их аналогов в Google в виде CSV-файла. С помощью этого файла и инструмента Google Workspace Migration for Microsoft Exchange (GWMME) вы можете перенести данные из ресурсов календаря Microsoft Exchange в соответствующие ресурсы календаря Google. Подробнее о GWMME

Статьи по теме


Google, Google Workspace, а также другие связанные знаки и логотипы являются товарными знаками компании Google LLC. Все другие названия компаний и продуктов являются товарными знаками соответствующих компаний.

Эта информация оказалась полезной?
Как можно улучшить эту статью?
Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню
Поиск по Справочному центру
false