ฟีเจอร์นี้ใช้ได้กับ Cloud Identity รุ่น Premium เปรียบเทียบรุ่นต่างๆ
จะเกิดอะไรขึ้นหากฉันระงับบัญชีผู้ใช้ Cloud Identity หรือ Google Workspace
บริการ LDAP ที่ปลอดภัยจะใช้ Cloud Directory เป็นหลักในการตรวจสอบสิทธิ์ ให้สิทธิ์ และค้นหาไดเรกทอรี บัญชีที่ถูกระงับจะไม่สามารถลงชื่อเข้าใช้แอปพลิเคชันที่เกี่ยวข้องกับ Cloud Identity/Google Workspace รวมถึงแอปพลิเคชัน LDAP ได้ แม้ว่าบัญชีที่ถูกระงับจะยืนยันรหัสผ่านของตนด้วย LDAP ไม่ได้ แต่บริการไคลเอ็นต์ก็ยังค้นหาบัญชีเหล่านี้ได้โดยใช้การค้นหา LDAP
จะเกิดอะไรขึ้นหากฉันกำหนดค่าผู้ให้บริการข้อมูลประจำตัว/ผู้ให้บริการ SSO บุคคลที่สามใน Google Workspace หรือ Cloud Identity
การดำเนินการนี้จะไม่ส่งผลใดๆ กับการใช้ LDAP ที่ปลอดภัยเพื่อตรวจสอบสิทธิ์ ให้สิทธิ์ และค้นหาข้อมูล เนื่องจากผู้ให้บริการข้อมูลประจำตัวบุคคลที่สามจะมีผลเฉพาะกับธุรกรรมที่ใช้ HTTP เท่านั้น เช่น การตรวจสอบสิทธิ์ที่ใช้ SAML
หมายเหตุ: หากต้องการให้ผู้ใช้ตรวจสอบสิทธิ์กับแอปพลิเคชันที่เชื่อมต่อ LDAP ที่ปลอดภัยได้ ผู้ใช้จะต้องทราบชื่อผู้ใช้และรหัสผ่าน Google ของตน เนื่องจากข้อมูลเข้าสู่ระบบเหล่านี้ (ไม่ใช่ข้อมูลเข้าสู่ระบบของผู้ให้บริการข้อมูลประจำตัวบุคคลที่สาม) จำเป็นสำหรับการตรวจสอบสิทธิ์
ทำไมฉันต้องมีทั้งใบรับรองและข้อมูลรับรองการเข้าถึงเพื่อตรวจสอบสิทธิ์ไคลเอ็นต์ LDAP
การตรวจสอบสิทธิ์ไคลเอ็นต์ LDAP ใช้เฉพาะใบรับรองเท่านั้น ข้อมูลรับรองการเข้าถึงจะมีเฉพาะในกรณีที่ไคลเอ็นต์ยืนยันว่าต้องใช้เพื่อการส่งชื่อผู้ใช้และรหัสผ่านด้วยเท่านั้น ข้อมูลรับรองการเข้าถึงเพียงอย่างเดียวจะไม่ให้สิทธิ์การเข้าถึงเซิร์ฟเวอร์ LDAP หรือข้อมูลผู้ใช้แต่อย่างใด แต่ควรจะเก็บไว้เป็นความลับเพื่อป้องกันไม่ให้มีการใช้ลงชื่อเข้าสู่ไคลเอ็นต์ LDAP นั้น
ในกรณีที่ไคลเอ็นต์ LDAP ต้องใช้ข้อมูลรับรองการเข้าถึง เราจะตรวจสอบสิทธิ์ไคลเอ็นต์ LDAP โดยใช้ทั้งใบรับรองและข้อมูลรับรองการเข้าถึง
ถ้าแอปพลิเคชัน LDAP ของฉันไม่รองรับใบรับรอง TLS จะมีทางเลือกอื่นอีกไหม
มี คุณสามารถใช้ stunnel เป็นพร็อกซีระหว่างแอปพลิเคชันกับ LDAP ที่ปลอดภัยได้ โปรดดูรายละเอียดและวิธีการที่หัวข้อใช้ stunnel เป็นพร็อกซี
ฉันสร้างข้อมูลรับรองการเข้าถึงไว้แล้ว แต่ตอนนี้ฉันลืมรหัสผ่านที่ใช้ตั้งค่าอินสแตนซ์ของไคลเอ็นต์ LDAP เพิ่มเติม ฉันจะสร้างข้อมูลรับรองการเข้าอีกชุดได้ไหม
ในฐานะผู้ดูแลระบบ คุณสร้างข้อมูลรับรองการเข้าถึงอีกชุดได้ ซึ่งจะประกอบด้วยชื่อผู้ใช้และรหัสผ่านคู่ใหม่ที่แตกต่างจากเดิม โดยคุณจะเก็บข้อมูลรับรองที่ใช้งานได้สูงสุดคราวละสองชุด หากข้อมูลรับรองถูกบุกรุกหรือไม่ได้ใช้งานอีกต่อไป ให้คุณลบออกได้
ถ้าฉันสงสัยว่าจะเกิดปัญหาด้านความปลอดภัยกับไคลเอ็นต์ LDAP ฉันจะปิดใช้งานทันทีได้อย่างไร
หากสงสัยว่าไคลเอ็นต์ LDAP มีปัญหาด้านความปลอดภัย (เช่น ใบรับรองหรือข้อมูลเข้าสู่ระบบอาจถูกบุกรุก) คุณจะปิดใช้งานไคลเอ็นต์ทันทีได้ด้วยการลบใบรับรองดิจิทัลทั้งหมดที่เชื่อมโยงกับไคลเอ็นต์นั้น วิธีนี้เป็นวิธีที่ดีที่สุดในการปิดใช้งานไคลเอ็นต์ได้ทันที เนื่องจากการเปลี่ยนสถานะบริการเป็นปิดอาจใช้เวลาถึง 24 ชั่วโมงก่อนที่ไคลเอ็นต์จะปิด
โปรดดูวิธีการที่หัวข้อลบใบรับรอง
หากต้องการเปิดใช้งานไคลเอ็นต์ในภายหลัง คุณจะต้องสร้างใบรับรองใหม่ แล้วอัปโหลดใบรับรองไปยังไคลเอ็นต์ LDAP
คอมพิวเตอร์ Linux ใน Google Compute Engine ไม่มีที่อยู่ IP ภายนอก ฉันยังคงเชื่อมต่อกับบริการ LDAP ที่ปลอดภัยได้ไหม
ได้ หากคุณใช้โมดูล SSSD บนคอมพิวเตอร์ Linux โดยไม่มีที่อยู่ IP ภายนอกใน Google Compute Engine คุณยังคงเชื่อมต่อกับบริการ LDAP ที่ปลอดภัยได้ตราบเท่าที่คุณเปิดใช้การเข้าถึงภายในกับบริการ Google ดูข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดค่าการเข้าถึงส่วนตัว โปรดดูรายละเอียดที่หัวข้อการกำหนดค่าการเข้าถึง Google แบบส่วนตัว