Часто задаваемые вопросы: сервис Secure LDAP

Эта функция доступна в пакетах G Suite Enterprise, Cloud Identity Premium, G Suite Enterprise for Education и G Suite for Education.

Что будет, если я заблокирую аккаунт пользователя Cloud Identity или G Suite?

Пользователи, чьи аккаунты были заблокированы, не смогут войти в приложения, относящиеся к Cloud Identity или G Suite (включая LDAP-клиенты), поскольку аутентификация, авторизация и поиск по каталогам в сервисе Secure LDAP выполняются через облачный каталог. Хотя заблокированные пользователи не смогут подтверждать пароли с помощью LDAP, сервис клиента сможет найти их через поиск LDAP.

Что будет, если я укажу стороннего поставщика идентификационной информации или поставщика системы единого входа в G Suite или Cloud Identity?

Это не повлияет на работу Secure LDAP, так как данные сторонних поставщиков идентификационной информации передаются только по протоколу HTTP (например, при аутентификации с использованием SAML).

Почему для аутентификации LDAP-клиента нужен не только сертификат, но и учетные данные?

Аутентификация LDAP-клиентов выполняется с помощью сертификатов. Имя пользователя и пароль могут потребоваться, если их запрашивает клиент. Используя только учетные данные, получить доступ к серверу LDAP или данным пользователей нельзя. Однако во избежание несанкционированного входа в клиенты следует хранить имена пользователей и пароли в безопасности.

Если для LDAP-клиента требуются учетные данные, то аутентификация выполняется с помощью сертификатов и этих данных.

Что делать, если мое LDAP-приложение не поддерживает сертификаты TLS?

Вы можете использовать Stunnel в качестве прокси-сервера между вашим приложением и сервисом Secure LDAP.

Мне нужно настроить LDAP-клиент ещё раз, но я не помню пароль. Можно ли создать другие учетные данные?

Да, как администратор, вы можете создать другие учетные данные, то есть уникальное имя пользователя и пароль. Обратите внимание, что одновременно будут действительны только две пары учетных данных. Те из них, которые не используются или стали известны посторонним, можно удалить.

Мне кажется, что LDAP-клиент могут взломать, поэтому я хочу немедленно отключить его. Как это сделать?

Если вы подозреваете, что кто-то посторонний получил доступ к сертификатам или учетным данным, то можете сразу же отключить LDAP-клиент, удалив все связанные с ним сертификаты. Это самый быстрый способ остановить его работу. Если просто изменить статус сервиса на вариант ВЫКЛ, деактивация клиента может занять до 24 часов. 

Подробнее о том, как удалить сертификаты

Чтобы снова включить LDAP-клиент, вам понадобится создать другие сертификаты и загрузить их в него.

У моих компьютеров Linux в Google Compute Engine нет внешних IP-адресов. Могу ли я подключить их к сервису Secure LDAP?

Да. Если вы используете модуль SSSD на компьютерах Linux без внешних IP-адресов в Google Compute Engine, вы можете подключиться к сервису Secure LDAP, пока включен внутренний доступ к сервисам Google. Подробная информация о настройке приватного доступа приведена в этой статье.

Эта информация оказалась полезной?
Как можно улучшить эту статью?