Эта функция доступна в версиях Frontline Standard, Business Plus, Enterprise Standard и Enterprise Plus, Education Fundamentals, Education Standard, Teaching and Learning Upgrade и Education Plus, Enterprise Essentials Plus. Сравнение версий
Сервис Secure LDAP предоставляет LDAP-клиентам доступ к объектам Google Cloud Directory при помощи описанной ниже иерархии и атрибутов.
Пример иерархии
- <root>
- cn=subschema
- dc=primer,dc=ru
- ou=Polzovateli
- ou=Prodazhi
- uid=lizakuznetsova
- uid=ivankuznetsov
- ou=Prodazhi
- ou=Gruppy
- cn=gruppa1
- cn=groppa2
- ou=Polzovateli
- cn=subschema
Атрибуты
Корневые
Метаданные сервера:
- objectClass: top
- supportedLdapVersion: 3
- supportedSASLMechanism: EXTERNAL, PLAIN
- supportedExtension: 1.3.6.1.4.1.1466.20037 (StartTLS)
- subschemaSubentry: cn=subschema
Поднабор атрибутов
Определение набора атрибутов сервера LDAP в машиночитаемом формате:
- objectClass: top, subschema.
- objectClasses: описания поддерживаемых классов объектов.
- attributeTypes: описания поддерживаемых типов атрибутов.
- matchingRules: описания поддерживаемых правил, отвечающих критериям.
Домен
Домен, который использовался для регистрации в Google Workspace или Cloud Identity Premium. В него включены субдомены, пользователи, группы и организационные подразделения.
- objectClass: top, domain, dcObject.
- dc: название компонента домена (пример: dc=primer,dc=ru).
- hasSubordinates: TRUE.
Организационное подразделение
Организационное подразделение в дереве каталогов. В подразделение могут входить как его сотрудники, так и другие организационные подразделения. Используется та же иерархия, что и в консоли администратора Google.
- objectClass: top, organizationalUnit.
- ou: название организационного подразделения (пример: ou=Polzovateli).
- description: более подробное словесное описание подразделения.
- hasSubordinates: TRUE.
Пользователь
Пользователь в домене. Пользователи отображаются в подразделениях, к которым они отнесены.
- objectClass: top, person, organizationalPerson, inetOrgPerson, posixAccount.
- uid: имя пользователя (часть адреса электронной почты до знака @).
- googleUid: то же, что и uid. Не следует путать этот атрибут с posixUid.
- posixUid: имя пользователя или имя POSIX сотрудника (если настроено).
- cn: так называемое стандартное имя, состоящее из двух значений – имени пользователя и отображаемого имени сотрудника.
- sn: фамилия сотрудника.
- givenName: имя сотрудника.
- displayName: отображаемое имя сотрудника (полное имя).
- mail: адрес электронной почты сотрудника.
- memberOf: список полных названий групп, к которым принадлежит пользователь.
- title: должность сотрудника.
- employeeNumber: идентификационный номер сотрудника.
- employeeType: роль сотрудника в организации.
- departmentNumber: название подразделения, к которому принадлежит сотрудник (не обязательно числовое значение).
- physicalDeliveryOfficeName: адрес или место работы сотрудника.
- jpegPhoto: фото профиля сотрудника.
- entryUuid: универсальный уникальный неизменный идентификатор пользователя.
- objectSid: универсальный уникальный идентификатор, совместимый с SID-идентификаторами Windows.
- uidNumber: уникальный идентификатор POSIX сотрудника. Если этот идентификатор не настроен, отображается уникальный неизменный идентификатор.
- gidNumber: идентификатор POSIX для основной группы, к которой принадлежит сотрудник. Если этот идентификатор не настроен, будет показан уникальный идентификатор сотрудника.
Примечание. Вы не сможете искать пользователей по uidNumber или gidNumber, если эти атрибуты не заданы администратором с использованием Admin SDK API. Если эти атрибуты заданы с использованием API, также нужно задать атрибут posixAccount systemId. Иначе uidNumber и gidNumber будут недоступны для поиска.
- homeDirectory: главный каталог POSIX пользователя. Значение по умолчанию – /home/<имя_пользователя>.
- loginShell: оболочка входа POSIX. Значение по умолчанию – /bin/bash.
- gecos: атрибуты GECOS пользователя.
- hasSubordinates: FALSE.
Группа
- objectClass: top, groupOfNames, posixGroup.
- cn: уникальное название группы в домене.
- displayName: отображаемое название группы.
- description: подробное словесное описание группы.
- gidNumber: идентификатор группы в формате POSIX. Хотя он является уникальным и неизменным, не следует использовать его для поиска группы.
- entryUuid: универсальный уникальный неизменный идентификатор группы.
- objectSid: универсальный уникальный идентификатор группы, совместимый с SID-идентификаторами Windows.
- member: список полных имен участников группы.
- memberUid: список имен пользователей участников группы.
- googleAdminCreated: TRUE, если группу создал администратор.
- hasSubordinates: FALSE.