보안 LDAP 스키마

이 기능은 Cloud ID Premium 버전에서 사용할 수 있습니다. 버전 비교하기 

보안 LDAP 서비스는 아래 섹션에 설명된 계층 구조 및 속성을 통해 LDAP 클라이언트에서 Google Cloud 디렉터리 객체를 사용할 수 있도록 합니다.

샘플 계층 구조

• <root>
  • cn=subschema
     
  • dc=example,dc=com
    • ou=Users
      • ou=Sales
        • uid=lisasmith
      • uid=jimsmith
    • ou=Groups
      • cn=group1
      • cn=group2

속성

루트

서버 메타데이터

• objectClass: top
• supportedLdapVersion: 3
• supportedSASLMechanism: EXTERNAL, PLAIN
• supportedExtension: 1.3.6.1.4.1.1466.20037(StartTLS)
• subschemaSubentry: cn=subschema

​하위 스키마

컴퓨터가 인식할 수 있는 LDAP 서버 스키마의 정의

• objectClass: top, subschema
• objectClasses: 지원되는 객체 클래스에 대한 설명
• attributeTypes: 지원되는 속성 유형에 대한 설명
• matchingRules: 지원되는 일치 규칙에 대한 설명

도메인

Google Workspace 또는 Cloud ID Premium에 등록하는 데 사용한 도메인입니다. 여기에는 하위 도메인, 사용자, 그룹, 조직 단위가 포함되어 있습니다.

• objectClass: top, domain, dcObject
• dc: 도메인 구성요소의 이름(예: dc=example, dc=com)
• hasSubordinates: TRUE

​조직 단위

디렉터리 트리 내의 조직 단위입니다. 조직 단위에는 다른 조직 단위나 조직 단위 내의 사용자가 포함될 수 있습니다. 조직 단위 트리는 Google 관리 콘솔에 표시되는 조직 단위 트리와 동일합니다.

• objectClass: top, organizationalUnit
• ou: 조직 단위의 이름(예: ou=Users)
• description: 조직 단위에 대해 사용자가 인식할 수 있는 설명
• hasSubordinates: TRUE

사용자

도메인의 사용자이며 사용자는 자신이 속한 조직 단위 아래에 표시됩니다.

• objectClass: top, person, organizationalPerson, inetOrgPerson, posixAccount
• uid: 사용자의 사용자 이름. 이메일 주소의 사용자 이름 부분
• googleUid: uid와 같으며 posixUid와 구분되어 사용됨
• posixUid: 사용자의 사용자 이름. 사용자의 이름이 설정된 경우 사용자의 POSIX 사용자 이름
• cn: '일반 이름'. 사용자의 사용자 이름 및 표시 이름이라는 두 가지 값이 포함됨
• sn: 사용자의 성
• givenName: 사용자의 이름
• displayName: 사용자의 표시 이름(성명)
• mail: 사용자의 이메일 주소
• memberOf: 이 사용자가 속한 그룹의 정규화된 이름 목록
• title: 사용자의 직책
• employeeNumber: 사용자의 직원 ID
• employeeType: 조직 내 사용자의 역할
• departmentNumber: 사용자의 부서 이름. 반드시 숫자일 필요는 없음
• physicalDeliveryOfficeName: 사용자의 위치 또는 주소
• jpegPhoto: 사용자의 프로필 사진
• entryUuid: 이 사용자의 범용 고유 정식 식별자
• objectSid: 이 사용자의 범용 고유 식별자(Windows 보안 식별자와 호환됨)
• uidNumber: 사용자의 POSIX UID 번호. 사용자의 POSIX ID가 설정된 경우 해당 ID가 반영되며 그렇지 않은 경우 고유 정식 식별자가 반영됨
• gidNumber: 사용자 기본 그룹의 POSIX GID 번호. 사용자의 POSIX GID가 설정된 경우 해당 ID가 반영되며 그렇지 않은 경우 사용자의 UID 번호와 동일함

  참고:  관리자가 Admin SDK API를 사용하여 이러한 속성을 설정해야 uidNumber 또는gidNumber로 사용자를 검색할 수 있습니다. API를 사용하여 이러한 속성을 설정하는 경우 posixAccount systemId 속성도 설정해야 하며, 그렇지 않으면 uidNumber 및 gidNumber를 검색할 수 없습니다.

• homeDirectory: 사용자의 POSIX 홈 디렉터리. 기본값은 '/home/<username>'
• loginShell: 사용자의 POSIX 로그인 셸. 기본값은 '/bin/bash'
• gecos: 사용자의 GECOS(이전) 속성
• hasSubordinates: FALSE

​그룹

• objectClass: top, groupOfNames, posixGroup
• cn: 그룹의 도메인 고유 이름
• displayName: 사용자가 인식할 수 있는 그룹의 표시 이름
• description: 사용자가 인식할 수 있는 그룹에 대한 설명
• gidNumber: 그룹의 POSIX GID 번호. 정식 고유 ID이긴 하지만 이 번호만으로 그룹을 효율적으로 조회할 수는 없음
• entryUuid: 이 그룹의 범용 고유 정식 식별자
• objectSid: 이 그룹의 범용 고유 식별자(Windows 보안 식별자와 호환됨)
• member: 이 그룹 멤버의 정규화된 이름 목록
• memberUid: 이 그룹 멤버의 사용자 이름 목록
• googleAdminCreated: True(관리자가 이 그룹을 만든 경우)
• hasSubordinates: FALSE