为 GKE Identity Service 设置 LDAP 提供商

本文档介绍如何设置首选轻量级目录访问协议 (LDAP) 提供商以与 GKE Identity Service 搭配使用。如需详细了解 GKE Identity Service,请参阅概览

本文档适用于平台管理员或组织中管理身份设置的人员。如果您是集群管理员或应用运维人员,您或您的平台管理员必须先按照本部分中的说明操作,然后再开始使用 LDAP 为 GKE Identity Service 配置集群

使用 LDAP 的 GKE Identity Service 目前只能与 GKE on VMwareGKE on Bare Metal 搭配使用。

准备工作

在设置过程中,您可能需要参考 LDAP 服务器的文档。以下管理员指南介绍了一些常用 LDAP 提供商的配置,包括在何处查找登录 LDAP 服务器所需的信息:

获取 LDAP 登录详细信息

GKE Identity Service 需要服务账号密钥才能向 LDAP 服务器进行身份验证并检索用户详细信息。LDAP 身份验证、基本身份验证(使用用户名和密码向服务器进行身份验证)或客户端证书(使用客户端私钥和客户端证书)允许两种类型的服务账号。如需了解特定 LDAP 服务器支持的类型,请参阅其相应文档。通常,Google LDAP 仅支持客户端证书作为服务账号。OpenLDAP、Microsoft Active Directory 和 Azure AD 原生仅支持基本身份验证。

以下说明展示了如何创建客户端以及获取某些常用提供商的 LDAP 服务器登录详细信息。对于其他 LDAP 提供商,请参阅服务器的管理员文档。

Azure AD/Active Directory

  1. 按照界面说明创建新的用户账号。
  2. 保存完整的用户标识名 (DN) 和密码以供日后使用。

Google LDAP

  1. 确保您已在 accounts.google.com 中登录您的 Google Workspace 或 Cloud Identity 账号。
  2. 使用该账号登录 Google 管理控制台
  3. 从左侧菜单中选择应用 - LDAP
  4. 点击添加客户端
  5. 添加所选客户端名称和说明,然后点击继续
  6. 访问权限部分,确保客户端具有读取目录和访问用户信息所需的权限。
  7. 下载客户端证书并完成客户端创建过程。下载证书也会下载相应的密钥。

  8. 在相关目录中运行以下命令,以对证书和密钥进行 base64 编码,并替换下载的证书和密钥的文件名:

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. 保存加密的证书和密钥字符串以供日后使用。

OpenLDAP

  1. 使用 ldapadd 命令在目录中添加新的服务账号条目。确保该账号有权读取目录并访问用户信息。
  2. 保存完整的用户标识名 (DN) 和密码以供日后使用。

后续步骤

确保设置 GKE Identity Service 的集群管理员拥有上一步中的 LDAP 服务器登录详细信息,或自行继续使用 LDAP 为 GKE Identity Service 配置集群