FAQ: Layanan LDAP aman

Fitur ini tersedia di Cloud Identity Premium Edition. Bandingkan edisi 

Apa yang akan terjadi jika saya menangguhkan akun pengguna Cloud Identity atau Google Workspace?

Layanan LDAP Aman menggunakan Cloud Directory sebagai dasar untuk pencarian direktori, autentikasi, dan otorisasi. Akun yang ditangguhkan tidak dapat login ke semua aplikasi yang dikaitkan ke Cloud Identity/Google Workspace, termasuk aplikasi LDAP. Meskipun akun yang ditangguhkan tidak dapat memverifikasi sandinya dengan LDAP, akun tersebut masih dapat dicari oleh layanan klien dengan penelusuran LDAP.

Apa yang akan terjadi jika saya mengonfigurasi penyedia SSO/penyedia identitas pihak ketiga di Google Workspace atau Cloud Identity?

Penggunaan LDAP Aman tidak memengaruhi pencarian autentikasi, otorisasi, dan direktori, karena penyedia identitas pihak ketiga hanya memengaruhi transaksi berbasis HTTP seperti autentikasi berbasis SAML.

Catatan: Jika Anda ingin pengguna dapat mengautentikasi dengan aplikasi yang terhubung ke LDAP aman, pastikan mereka tahu nama pengguna dan sandi Google mereka, karena kredensial ini (bukan kredensial penyedia identitas pihak ketiga mereka) diperlukan untuk autentikasi.

Mengapa saya memerlukan sertifikat dan kredensial akses untuk mengautentikasi klien LDAP?

Autentikasi klien LDAP hanya membutuhkan sertifikat. Kredensial akses hanya dibutuhkan jika klien ingin tetap mengirim nama pengguna dan sandi. Pada dasarnya, kredensial akses tidak memberi akses apa pun ke server LDAP atau data pengguna, tetapi kredensial tersebut harus dirahasiakan agar tidak digunakan untuk login ke klien LDAP tertentu.

Dalam situasi tertentu ketika klien LDAP membutuhkan kredensial akses, kami mengautentikasi klien LDAP dengan sertifikat dan kredensial akses.

Jika aplikasi LDAP saya tidak mendukung sertifikat TLS, apakah ada alternatif lain?

Ya. Anda dapat menggunakan stunnel sebagai proxy antara aplikasi Anda dan LDAP aman. Untuk mengetahui detail dan petunjuknya, lihat Menggunakan stunnel sebagai proxy.

Saya pernah membuat kredensial akses, tetapi lupa sandi untuk menyiapkan instance lain bagi klien LDAP saya. Dapatkah saya membuat kumpulan kredensial akses lainnya?

Sebagai administrator, Anda dapat membuat kumpulan kredensial akses lainnya, yang akan terdiri dari pasangan nama pengguna/sandi yang berbeda. Anda dapat menyimpan maksimal dua kredensial aktif secara bersamaan. Jika kredensial disusupi atau tidak lagi digunakan, Anda dapat menghapusnya.

Jika saya mencurigai adanya masalah keamanan pada klien LDAP, bagaimana cara untuk segera menonaktifkannya?

Jika Anda mencurigai adanya masalah keamanan pada klien LDAP (misalnya, jika sertifikat atau kredensial disusupi), Anda dapat segera menonaktifkan klien dengan menghapus semua sertifikat digital yang terkait. Ini adalah cara terbaik untuk segera menonaktifkan klien, karena mungkin perlu waktu hingga 24 jam agar klien dinonaktifkan setelah status layanan diubah menjadi Nonaktif

Untuk mengetahui petunjuknya, lihat Menghapus sertifikat.

Jika ingin mengaktifkan klien di lain waktu, Anda harus membuat sertifikat baru dan mengupload sertifikat tersebut ke klien LDAP Anda.

Komputer Linux saya di Google Compute Engine tidak memiliki alamat IP eksternal. Apakah saya masih dapat terhubung ke layanan LDAP aman?

Ya. Jika menggunakan modul SSSD pada komputer Linux tanpa alamat IP eksternal di Google Compute Engine, Anda masih dapat terhubung ke layanan LDAP Aman selama akses internal ke layanan Google diaktifkan. Pelajari lebih lanjut konfigurasi akses pribadi. Untuk detailnya, lihat Mengonfigurasi Akses Google Pribadi.

Apakah ini membantu?
Bagaimana cara meningkatkannya?