Configurar um provedor LDAP para o Serviço de identidade do GKE
Neste documento, explicamos como configurar seu provedor preferido de Protocolo leve de acesso a diretórios (LDAP) para uso com o Serviço de identidade do GKE. Para saber mais sobre o Serviço de identidade do GKE, confira a visão geral.
Este documento é destinado a administradores de plataforma ou a quem gerencia a configuração de identidade na organização. Se você for um administrador do cluster ou operador de aplicativos, você ou o administrador da plataforma precisarão seguir esta seção antes de iniciar a configuração de clusters para o Serviço de identidade do GKE com LDAP.
O serviço de identidade do GKE com LDAP só pode ser usado com implantações somente de software do Google Distributed Cloud no VMware e em bare metal.
Antes de começar
Durante essa configuração, talvez seja necessário consultar a documentação do seu servidor LDAP. Os guias do administrador a seguir explicam a configuração de alguns provedores LDAP conhecidos, incluindo onde encontrar as informações necessárias para fazer login no servidor LDAP:
Receber detalhes de login LDAP
O Serviço de identidade do GKE precisa de um secret da conta de serviço para se autenticar no servidor LDAP e recuperar os detalhes do usuário. Há dois tipos de contas de serviço permitidas na autenticação LDAP: autenticação básica (com um nome de usuário e senha para autenticação no servidor) ou certificado do cliente (chave privada do cliente e certificado do cliente). Para descobrir qual tipo é compatível com seu servidor LDAP específico, consulte sua documentação. Geralmente, o Google LDAP é compatível apenas com um certificado do cliente como a conta de serviço. O OpenLDAP, o Microsoft Active Directory e o Azure AD são compatíveis somente com a autenticação básica.
As instruções a seguir mostram como criar um cliente e acessar detalhes de login do servidor LDAP para alguns provedores conhecidos. Para outros provedores LDAP, consulte a documentação do administrador do servidor.
Azure AD/Active Directory
- Siga as instruções da IU para criar uma nova conta de usuário.
- Salve o nome distinto (DN) e a senha completos do usuário para uso posterior.
LDAP do Google
- Verifique se você fez login na sua conta do Google Workspace ou do Cloud Identity em accounts.google.com.
- Faça login no Google Admin Console com a conta.
- Selecione Apps: LDAP no menu à esquerda.
- Clique em Adicionar cliente.
- Adicione a descrição e o nome do cliente escolhidos e clique em Continuar.
- Na seção Permissões de acesso, confirme que o cliente tem as permissões apropriadas para ler seu diretório e acessar as informações do usuário.
- Faça o download do certificado do cliente e conclua a criação do cliente. O download do certificado também faz o download da chave correspondente.
Execute os seguintes comandos no diretório relevante para codificar o certificado e a chave em base64, substituindo os nomes de arquivo do certificado e da chave baixados:
cat CERTIFICATE_FILENAME.crt | base64 cat KEY_FILENAME.key | base64
Salve o certificado criptografado e as strings de chave para mais tarde.
OpenLDAP
- Use o comando
ldapadd
para adicionar uma nova entrada de conta de serviço ao diretório. Verifique se a conta tem permissão para ler o diretório e acessar as informações do usuário. - Salve o nome distinto (DN) e a senha completos do usuário para uso posterior.
A seguir
Verifique se o administrador do cluster que está configurando o Serviço de identidade do GKE tem os detalhes de login do servidor LDAP da etapa anterior ou prossiga para a seção Configurar clusters para o Serviço de identidade do GKE com LDAP.