Configurar um provedor LDAP para o Serviço de identidade do GKE

Neste documento, explicamos como configurar seu provedor preferido de Protocolo leve de acesso a diretórios (LDAP) para uso com o Serviço de identidade do GKE. Para saber mais sobre o Serviço de identidade do GKE, confira a visão geral.

Este documento é destinado a administradores de plataforma ou a quem gerencia a configuração de identidade na organização. Se você for um administrador do cluster ou operador de aplicativos, você ou o administrador da plataforma precisarão seguir esta seção antes de iniciar a configuração de clusters para o Serviço de identidade do GKE com LDAP.

O serviço de identidade do GKE com LDAP só pode ser usado com implantações somente de software do Google Distributed Cloud no VMware e em bare metal.

Antes de começar

Durante essa configuração, talvez seja necessário consultar a documentação do seu servidor LDAP. Os guias do administrador a seguir explicam a configuração de alguns provedores LDAP conhecidos, incluindo onde encontrar as informações necessárias para fazer login no servidor LDAP:

Receber detalhes de login LDAP

O Serviço de identidade do GKE precisa de um secret da conta de serviço para se autenticar no servidor LDAP e recuperar os detalhes do usuário. Há dois tipos de contas de serviço permitidas na autenticação LDAP: autenticação básica (com um nome de usuário e senha para autenticação no servidor) ou certificado do cliente (chave privada do cliente e certificado do cliente). Para descobrir qual tipo é compatível com seu servidor LDAP específico, consulte sua documentação. Geralmente, o Google LDAP é compatível apenas com um certificado do cliente como a conta de serviço. O OpenLDAP, o Microsoft Active Directory e o Azure AD são compatíveis somente com a autenticação básica.

As instruções a seguir mostram como criar um cliente e acessar detalhes de login do servidor LDAP para alguns provedores conhecidos. Para outros provedores LDAP, consulte a documentação do administrador do servidor.

Azure AD/Active Directory

  1. Siga as instruções da IU para criar uma nova conta de usuário.
  2. Salve o nome distinto (DN) e a senha completos do usuário para uso posterior.

LDAP do Google

  1. Verifique se você fez login na sua conta do Google Workspace ou do Cloud Identity em accounts.google.com.
  2. Faça login no Google Admin Console com a conta.
  3. Selecione Apps: LDAP no menu à esquerda.
  4. Clique em Adicionar cliente.
  5. Adicione a descrição e o nome do cliente escolhidos e clique em Continuar.
  6. Na seção Permissões de acesso, confirme que o cliente tem as permissões apropriadas para ler seu diretório e acessar as informações do usuário.
  7. Faça o download do certificado do cliente e conclua a criação do cliente. O download do certificado também faz o download da chave correspondente.
  8. Execute os seguintes comandos no diretório relevante para codificar o certificado e a chave em base64, substituindo os nomes de arquivo do certificado e da chave baixados:

    cat CERTIFICATE_FILENAME.crt | base64
    cat KEY_FILENAME.key | base64
    
  9. Salve o certificado criptografado e as strings de chave para mais tarde.

OpenLDAP

  1. Use o comando ldapadd para adicionar uma nova entrada de conta de serviço ao diretório. Verifique se a conta tem permissão para ler o diretório e acessar as informações do usuário.
  2. Salve o nome distinto (DN) e a senha completos do usuário para uso posterior.

A seguir

Verifique se o administrador do cluster que está configurando o Serviço de identidade do GKE tem os detalhes de login do servidor LDAP da etapa anterior ou prossiga para a seção Configurar clusters para o Serviço de identidade do GKE com LDAP.