Configura el proveedor de LDAP para GKE Identity Service
Este documento está dirigido a los administradores de plataformas o a quienes administran la configuración de identidad en tu organización. Se explica cómo configurar el proveedor de identidad del Protocolo ligero de acceso a directorios (LDAP) para GKE Identity Service.
GKE Identity Service con LDAP se puede usar solo con Google Distributed Cloud y Google Distributed Cloud.
Antes de comenzar
A lo largo de esta configuración, es posible que debas consultar la documentación de tu servidor de LDAP. Las siguientes guías de administrador explican la configuración de algunos proveedores LDAP populares, incluido dónde encontrar la información que necesitas para acceder al servidor LDAP:
Obtén detalles de acceso de LDAP
GKE Identity Service necesita un secreto de cuenta de servicio para autenticarse en el servidor LDAP y recuperar detalles del usuario. Existen dos tipos de cuentas de servicio permitidas en la autenticación LDAP, la autenticación básica (con un nombre de usuario y contraseña para autenticarse en el servidor) o el certificado de cliente (con una clave privada y un certificado de cliente). Para averiguar qué tipo es compatible con tu servidor LDAP específico, consulta la documentación. Por lo general, el LDAP de Google solo admite un certificado de cliente como cuenta de servicio. OpenLDAP, Microsoft Active Directory y Azure AD solo admiten la autenticación básica de forma nativa.
En las siguientes instrucciones, se muestra cómo crear un cliente y obtener los detalles de acceso del servidor LDAP para algunos proveedores populares. Para otros proveedores de LDAP, consulta la documentación para administradores del servidor.
Azure AD/Active Directory
- Sigue las instrucciones de la IU para crear una cuenta de usuario nueva.
- Guarda el Nombre distinguido completo del usuario y la contraseña para usarlos más adelante.
LDAP de Google
- Asegúrate de haber accedido a tu cuenta de Google Workspace o Cloud Identity en accounts.google.com.
- Accede a la Consola del administrador de Google con la cuenta.
- En el menú de la izquierda, selecciona Apps - LDAP.
- Haz clic en Agregar cliente.
- Agrega el nombre y la descripción del cliente que hayas elegido y haz clic en Continuar.
- En la sección Permisos de acceso, asegúrate de que el cliente tenga los permisos adecuados para leer el directorio y acceder a la información del usuario.
- Descarga el certificado de cliente y completa el proceso de la creación del cliente. Si descargas el certificado, también se descargará la clave correspondiente.
Ejecuta los siguientes comandos en el directorio correspondiente para codificar el certificado y la clave en Base64 y sustituir los nombres de los archivos del certificado y la clave descargados:
cat CERTIFICATE_FILENAME.crt | base64 cat KEY_FILENAME.key | base64
Guarda el certificado encriptado y las strings de clave para más adelante.
OpenLDAP
- Usa el comando
ldapadd
para agregar una nueva entrada de cuenta de servicio al directorio. Asegúrate de que la cuenta tenga permiso para leer el directorio y acceder a la información del usuario. - Guarda el Nombre distinguido completo del usuario y la contraseña para usarlos más adelante.
¿Qué sigue?
El administrador de tu clúster puede configurar GKE Identity Service para clústeres individuales o una flota.