安全 LDAP 架构

Cloud Identity 专业版提供此功能。版本对比

安全 LDAP 服务会使用下文各节所述的层级和属性,让 LDAP 客户端可访问 Google Cloud Directory 对象。

层级示例

  • <root>
    • cn=subschema
       
    • dc=example,dc=com
      • ou=Users
        • ou=Sales
          • uid=lisasmith
        • uid=jimsmith
      • ou=Groups
        • cn=group1
        • cn=group2

属性

根级

服务器元数据:

  • objectClass:top
  • supportedLdapVersion:3
  • supportedSASLMechanism:EXTERNAL、PLAIN
  • supportedExtension:1.3.6.1.4.1.1466.20037 (StartTLS)
  • subschemaSubentry:cn=subschema

​子架构

机器可读取的 LDAP 服务器架构定义:

  • objectClass:top、subschema
  • objectClasses:支持对象类别的说明
  • attributeTypes:支持属性类型的说明
  • matchingRules:支持匹配规则的说明

域名

您用来注册 Google Workspace 或 Cloud Identity 专业版的网域,包含子网域、用户、群组和单位部门。

  • objectClass:top、domain、dcObject
  • dc:网域组件的名称(例如:dc=example,dc=com)
  • hasSubordinates:TRUE

​单位部门

这是树状结构目录中的单位部门。此单位部门可能包含其他单位部门和/或其中的用户。此单位部门树状结构与您在 Google 管理控制台中看到的单位部门树状结构相同。

  • objectClass:top、organizationalUnit
  • ou:单位部门的名称(示例:ou=Users)
  • description:用户可理解的单位部门详细说明
  • hasSubordinates:TRUE

用户

网域中的用户,会显示在所属单位部门的下方:

  • objectClass:top、person、organizationalPerson、inetOrgPerson、posixAccount
  • uid:用户的用户名。电子邮件地址的用户名部分。
  • googleUid:与 uid 相同。用于与 posixUid 明确区分开来。
  • posixUid:用户的用户名,或用户的 POSIX 用户名(如已设置)。
  • cn:“常用名称”。其中包含两个值:用户的用户名和显示名称。
  • sn:用户的姓氏。
  • givenName:用户的名字。
  • displayName:用户的显示名称(全名)。
  • mail:用户的电子邮件地址。
  • memberOf:此用户所属群组的完全符合条件的名称列表。
  • title:用户的职位。
  • employeeNumber:用户的员工 ID。
  • employeeType:用户在单位中的角色。
  • departmentNumber:用户所在部门的名称。不一定是数字。
  • physicalDeliveryOfficeName:用户的位置或地址。
  • jpegPhoto:用户的个人资料照片。
  • entryUuid:此用户专属的固定通用标识符。
  • objectSid:此用户专属的通用标识符,与 Windows 安全标识符兼容。
  • uidNumber:用户的 POSIX UID 号码。如果为用户设置了 POSIX ID,这里则会显示此号码。否则,这里会显示专属的固定标识符。
  • gidNumber:用户主要群组的 POSIX GID 号码。如果为用户设置了 POSIX GID,这里则会显示此号码。否则,则会显示与用户的 UID 相同的号码。

    注意:您将无法使用用户的 uidNumber 或 gidNumber 来搜索用户,除非管理员使用 Admin SDK API 设置了这些属性。使用 API 设置这些属性时,还必须设置 posixAccount systemId 属性,否则 uidNumber 和 gidNumber 将无法搜索。

  • homeDirectory:用户的 POSIX 主目录。默认为“/home/<用户名>”。
  • loginShell:用户的 POSIX 登录 shell。默认为“/bin/bash”。
  • gecos:用户的 GECOS(旧有)属性。
  • hasSubordinates:FALSE

​群组

  • objectClass:top、groupOfNames、posixGroup
  • cn:群组在网域内专属的名称。
  • displayName:用户可理解的群组显示名称。
  • description:用户可理解的群组详细说明。
  • gidNumber:群组的 POSIX GID 号码。这是固定的专属 ID,但无法通过此 ID 高效地查找群组。
  • entryUuid:此群组专属的固定通用标识符。
  • objectSid:此群组专属的通用标识符,与 Windows 安全标识符兼容。
  • member:此群组中成员的完全符合条件的名称列表。
  • memberUid:此群组中成员的用户名列表。
  • googleAdminCreated:如果此群组是由管理员创建的,则值为 True。
  • hasSubordinates:FALSE

该内容对您有帮助吗?

您有什么改进建议?
true
搜索
清除搜索内容
关闭搜索框
主菜单
18270167735622309888
true
搜索支持中心
true
true
true
false
false