Najczęstsze pytania: usługa Bezpieczny LDAP

Ta funkcja jest dostępna w G Suite Enterprise, Cloud Identity Premium, G Suite Enterprise dla Szkół i Uczelni oraz G Suite dla Szkół i Uczelni.

Co się stanie, jeśli zawieszę konto użytkownika Cloud Identity lub G Suite?

Usługa Bezpieczny LDAP używa Cloud Directory jako podstawowego mechanizmu uwierzytelniania, autoryzacji i wyszukiwania w katalogu. Zawieszone konta nie mogą logować się w żadnych aplikacjach powiązanych z Cloud Identity lub G Suite, w tym w aplikacjach LDAP. Mimo że zawieszone konta nie mogą weryfikować swoich haseł przez LDAP, można je nadal wyszukiwać według usługi klienta, korzystając z wyszukiwania LDAP.

Co się stanie, jeśli skonfiguruję zewnętrznego dostawcę tożsamości lub logowania jednokrotnego w G Suite lub Cloud Identity?

Nie będzie to miało żadnego wpływu na usługę Bezpieczny LDAP, bo zewnętrzny dostawca tożsamości obejmuje tylko transakcje oparte na protokole HTTP, na przykład uwierzytelnianie oparte na protokole SAML.

Dlaczego do uwierzytelniania klientów LDAP potrzebuję zarówno certyfikatu, jak i danych logowania?

Klienta LDAP uwierzytelnia tylko certyfikat. Dane logowania są potrzebne tylko wtedy, gdy klient wymaga też wysłania nazwy użytkownika i hasła. Same dane logowania nie dają dostępu do serwera LDAP ani danych użytkownika, ale należy je przechowywać w bezpiecznym miejscu, by nikt przy ich użyciu nie mógł się zalogować w klientach LDAP.

Jeśli klient LDAP wymaga danych logowania, uwierzytelniamy klienty LDAP przy użyciu zarówno certyfikatów, jak i danych logowania.

Jeśli moja aplikacja LDAP nie obsługuje certyfikatów TLS, czy mogę użyć innego certyfikatu?

Tak. Możesz użyć programu stunnel jako serwera proxy między aplikacją a usługą Bezpieczny LDAP. Szczegółowe informacje i instrukcje zawiera sekcja Używanie programu stunnel jako serwera proxy.

Nie pamiętam hasła uzyskanego podczas generowania danych logowania. Jest ono potrzebne do skonfigurowania kolejnego wystąpienia klienta LDAP. Czy mogę wygenerować kolejny zestaw danych logowania?

Jako administrator możesz wygenerować kolejny zestaw danych logowania, który będzie się składał z innej pary nazwy użytkownika i hasła. Jednocześnie możesz mieć dwa zestawy danych logowania. Jeśli dane logowania zostały przejęte lub nie są już używane, możesz je usunąć.

W jaki sposób natychmiast wyłączyć klienta LDAP, jeśli podejrzewam, że występują w nim problemy z bezpieczeństwem?

Jeśli podejrzewasz, że w kliencie LDAP występują problemy z bezpieczeństwem (na przykład certyfikaty lub dane logowania zostały przejęte), możesz natychmiast wyłączyć klienta, usuwając wszystkie powiązane z nim certyfikaty cyfrowe. To najlepszy sposób na natychmiastowe wyłączenie klienta, bo wyłączenie klienta po zmianie stanu usługi na Wyłączona może zająć do 24 godzin. 

Odpowiednie instrukcje zawiera sekcja Usuwanie certyfikatu.

Aby później włączyć klienta, wygeneruj nowe certyfikaty i prześlij je do klienta LDAP.

Moje komputery z systemem Linux w Google Compute Engine nie mają zewnętrznych adresów IP. Czy mogę nadal łączyć się z usługą Bezpieczny LDAP?

Tak. Jeśli korzystasz z modułu SSSD na komputerach z systemem Linux bez zewnętrznych adresów IP w Google Compute Engine, możesz nadal łączyć się z usługą Bezpieczny LDAP, dopóki masz włączony wewnętrzny dostęp do usług Google. Dowiedz się więcej na temat konfigurowania prywatnego dostępu. Więcej informacji znajdziesz w artykule Configuring Private Google Access (Konfigurowanie usługi Private Google Access).

Czy to było pomocne?
Jak możemy ją poprawić?