LDAP-Anbieter für GKE Identity Service konfigurieren
Dieses Dokument richtet sich an Plattformadministratoren bzw. an die Person, die die Identitätseinrichtung in Ihrer Organisation verwaltet. Es wird erläutert, wie Sie den ausgewählten LDAP-Identitätsanbieter (Lightweight Directory Access Protocol) für GKE Identity Service konfigurieren.
GKE Identity Service mit LDAP kann nur mit Google Distributed Cloud und Google Distributed Cloud verwendet werden.
Hinweise
Während der Einrichtung müssen Sie möglicherweise die Dokumentation des LDAP-Servers lesen. Im Folgenden werden die Konfigurationen für einige beliebte LDAP-Anbieter erläutert. Außerdem erfahren Sie, wo Sie die Informationen finden, die Sie für die Anmeldung beim LDAP-Server benötigen:
LDAP-Anmeldedetails abrufen
GKE Identity Service benötigt ein Dienstkonto-Secret, um sich beim LDAP-Server zu authentifizieren und Nutzerdetails abzurufen. Für die LDAP-Authentifizierung sind zwei Arten von Dienstkonten zulässig: die Basisauthentifizierung (mit einem Nutzernamen und einem Passwort zur Authentifizierung beim Server) oder ein Clientzertifikat (mit einem privaten Clientschlüssel und einem Clientzertifikat). Informationen dazu, welcher Typ in Ihrem spezifischen LDAP-Server unterstützt wird, finden Sie in der Dokumentation. Im Allgemeinen unterstützt Google LDAP nur ein Clientzertifikat als Dienstkonto. OpenLDAP, Microsoft Active Directory und Azure AD unterstützen nativ nur die Basisauthentifizierung.
Die folgende Anleitung zeigt, wie Sie einen Client erstellen und die Anmeldedaten für den LDAP-Server für einige beliebte Anbieter abrufen. Informationen zu anderen LDAP-Anbietern finden Sie in der Administratordokumentation zum Server.
Azure AD/Active Directory
- Folgen Sie der Anleitung in der Benutzeroberfläche, um ein neues Nutzerkonto zu erstellen.
- Speichern Sie den vollständigen DN (Distinguished Name) des Nutzers und das Passwort für später.
Google LDAP
- Sie müssen in Ihrem Google Workspace- oder Cloud Identity-Konto unter accounts.google.com angemeldet sein.
- Melden Sie sich mit dem Konto in der Admin-Konsole an.
- Wählen Sie im linken Menü Apps – LDAP aus.
- Klicken Sie auf Client hinzufügen.
- Fügen Sie den ausgewählten Clientnamen und die Beschreibung hinzu und klicken Sie auf Weiter.
- Achten Sie im Abschnitt Zugriffsberechtigungen darauf, dass der Client die entsprechenden Berechtigungen zum Lesen Ihres Verzeichnisses und zum Zugriff auf Nutzerinformationen hat.
- Laden Sie das Clientzertifikat herunter und schließen Sie die Erstellung des Clients ab. Wenn Sie das Zertifikat herunterladen, wird auch der entsprechende Schlüssel heruntergeladen.
Führen Sie die folgenden Befehle im relevanten Verzeichnis aus, um das Zertifikat und den Schlüssel mit base64 zu codieren. Ersetzen Sie dabei die Dateinamen des heruntergeladenen Zertifikats und des Schlüssels.
cat CERTIFICATE_FILENAME.crt | base64 cat KEY_FILENAME.key | base64
Speichern Sie das verschlüsselte Zertifikat und die Schlüsselstrings für später.
OpenLDAP
- Verwenden Sie den Befehl
ldapadd
, um dem Verzeichnis einen neuen Dienstkontoeintrag hinzuzufügen. Sorgen Sie dafür, dass das Konto berechtigt ist, das Verzeichnis zu lesen und auf Nutzerinformationen zuzugreifen. - Speichern Sie den vollständigen DN (Distinguished Name) des Nutzers und das Passwort für später.
Nächste Schritte
Ihr Clusteradministrator kann GKE Identity Service für einzelne Cluster oder eine Flotte einrichten.