FAQs: Sicherer LDAP-Dienst
Unterstützte Editionen für diese Funktion: Frontline Standard ; Business Plus; Unternehmen ; Education Fundamentals, Education Standard, Teaching and Learning Upgrade und Education Plus ; Enterprise Essentials Plus. Vergleichen Sie Ihre Edition
Was passiert, wenn ich das Cloud Identity- oder Google Workspace-Benutzerkonto sperre?
Der Secure LDAP-Dienst verwendet Cloud Directory als Grundlage für Authentifizierung, Autorisierung und Verzeichnissuche. Gesperrte Konten können sich nicht bei Anwendungen im Zusammenhang mit Cloud Identity/Google Workspace anmelden, einschließlich LDAP-Anwendungen. Während gesperrte Konten ihre Passwörter nicht mit LDAP überprüfen können, können sie dennoch von einem Client-Service mit einer LDAP-Suche gesucht werden.
Was passiert, wenn ich einen externen Identitätsanbieter/SSO-Anbieter in Google Workspace oder Cloud Identity konfiguriere?
Die Verwendung von Secure LDAP für Authentifizierung, Autorisierung und Verzeichnissuche hat keine Auswirkungen, da Drittanbieter-Identitätsanbieter nur HTTP-basierte Transaktionen wie die SAML-basierte Authentifizierung beeinflussen.
Hinweis: Wenn Sie möchten, dass sich Ihre Benutzer bei mit Secure LDAP verbundenen Anwendungen authentifizieren können, stellen Sie sicher, dass sie ihren Google-Benutzernamen und ihr Passwort kennen, da diese Anmeldeinformationen (nicht die Anmeldeinformationen ihres Drittanbieters) für die Authentifizierung erforderlich sind. Benutzer können nicht auf sichere LDAP-Anwendungen zugreifen, indem sie sich über einen IdP eines Drittanbieters mit SSO anmelden.
Warum benötige ich sowohl ein Zertifikat als auch Zugangsdaten, um LDAP-Clients zu authentifizieren?
Nur das Zertifikat authentifiziert den LDAP-Client. Die Zugangsdaten liegen nur dann vor, wenn der Kunde auf die Zusendung eines Benutzernamens und Passworts besteht. Die Zugangsdaten allein gewähren keinen Zugriff auf den LDAP-Server oder Benutzerdaten, sollten jedoch geheim gehalten werden, um zu verhindern, dass sie für die Anmeldung an bestimmten LDAP-Clients verwendet werden.
Für den Fall, dass ein LDAP-Client Zugangsdaten benötigt, authentifizieren wir LDAP-Clients sowohl mit Zertifikaten als auch mit Zugangsdaten.
Gibt es eine Alternative, wenn meine LDAP-Anwendung keine TLS-Zertifikate unterstützt?
Ja. Sie können Stunnel als Proxy zwischen Ihrer Anwendung und Secure LDAP verwenden. Einzelheiten und Anweisungen finden Sie unter Stunnel als Proxy verwenden .
Ich habe in der Vergangenheit Zugangsdaten generiert und erinnere mich jetzt nicht mehr an das Passwort zum Einrichten einer weiteren Instanz meines LDAP-Clients. Kann ich einen weiteren Satz Zugangsdaten generieren?
Als Administrator können Sie einen weiteren Satz Zugangsdaten generieren, der aus einem eindeutigen Benutzername/Passwort-Paar besteht. Sie können maximal zwei Anmeldeinformationen gleichzeitig aktiv halten. Wenn ein Berechtigungsnachweis gefährdet ist oder nicht mehr verwendet wird, können Sie ihn löschen.
Wenn ich ein Sicherheitsproblem bei einem LDAP-Client vermute, wie kann ich ihn dann sofort deaktivieren?
Wenn Sie ein Sicherheitsproblem bei einem LDAP-Client vermuten (z. B. wenn Zertifikate oder Anmeldeinformationen kompromittiert sind), können Sie den Client sofort deaktivieren, indem Sie alle damit verbundenen digitalen Zertifikate löschen. Dies ist die beste Möglichkeit, einen Client sofort zu deaktivieren, da es bis zu 24 Stunden dauern kann, bis ein Client deaktiviert wird, nachdem der Dienststatus auf „Aus" gesetzt wurde.
Anweisungen finden Sie unter Zertifikate löschen .
Wenn Sie den Client zu einem späteren Zeitpunkt aktivieren möchten, müssen Sie neue Zertifikate generieren und die Zertifikate auf Ihren LDAP-Client hochladen .
Meine Linux-Computer auf Google Compute Engine haben keine externen IP-Adressen. Kann ich mich weiterhin mit dem Secure LDAP-Dienst verbinden?
Ja. Wenn Sie das SSSD-Modul auf Linux-Computern ohne externe IP-Adressen in Google Compute Engine verwenden, können Sie weiterhin eine Verbindung zum Secure LDAP-Dienst herstellen, solange Sie den internen Zugriff auf Google-Dienste aktiviert haben. Erfahren Sie mehr über die Konfiguration des privaten Zugriffs. Einzelheiten finden Sie unter Konfigurieren des privaten Google-Zugriffs .
No comments:
Post a Comment