Configura un proveedor de LDAP para GKE Identity Service

En este documento, se explica cómo configurar tu proveedor preferido del Protocolo ligero de acceso a directorios (LDAP) para usarlo con GKE Identity Service. Para obtener más información sobre GKE Identity Service, consulta la descripción general.

Este documento está dirigido a los administradores de plataformas o a quienes administran la configuración de identidad en tu organización. Si eres administrador de clústeres u operador de aplicaciones, tú o el administrador de tu plataforma deben seguir esta sección antes de comenzar a configurar clústeres para GKE Identity Service con LDAP.

Por el momento, GKE Identity Service con LDAP se puede usar solo con GKE en VMware y GKE on Bare Metal.

Antes de comenzar

A lo largo de esta configuración, es posible que debas consultar la documentación de tu servidor de LDAP. Las siguientes guías de administrador explican la configuración de algunos proveedores LDAP populares, incluido dónde encontrar la información que necesitas para acceder al servidor LDAP:

Obtén detalles de acceso de LDAP

GKE Identity Service necesita un secreto de cuenta de servicio para autenticarse en el servidor LDAP y recuperar detalles del usuario. Existen dos tipos de cuentas de servicio permitidas en la autenticación LDAP, la autenticación básica (con un nombre de usuario y contraseña para autenticarse en el servidor) o el certificado de cliente (con una clave privada y un certificado de cliente). Para averiguar qué tipo es compatible con tu servidor LDAP específico, consulta la documentación. Por lo general, el LDAP de Google solo admite un certificado de cliente como cuenta de servicio. OpenLDAP, Microsoft Active Directory y Azure AD solo admiten la autenticación básica de forma nativa.

En las siguientes instrucciones, se muestra cómo crear un cliente y obtener los detalles de acceso del servidor LDAP para algunos proveedores populares. Para otros proveedores de LDAP, consulta la documentación para administradores del servidor.

Azure AD/Active Directory

  1. Sigue las instrucciones de la IU para crear una cuenta de usuario nueva.
  2. Guarda el Nombre distinguido completo del usuario y la contraseña para usarlos más adelante.

LDAP de Google

  1. Asegúrate de haber accedido a tu cuenta de Google Workspace o Cloud Identity en accounts.google.com.
  2. Accede a la Consola del administrador de Google con la cuenta.
  3. En el menú de la izquierda, selecciona Apps - LDAP.
  4. Haz clic en Agregar cliente.
  5. Agrega el nombre y la descripción del cliente que hayas elegido y haz clic en Continuar.
  6. En la sección Permisos de acceso, asegúrate de que el cliente tenga los permisos adecuados para leer el directorio y acceder a la información del usuario.
  7. Descarga el certificado de cliente y completa el proceso de la creación del cliente. Si descargas el certificado, también se descargará la clave correspondiente.

  8. Ejecuta los siguientes comandos en el directorio correspondiente para codificar el certificado y la clave en Base64 y sustituir los nombres de los archivos del certificado y la clave descargados:

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. Guarda el certificado encriptado y las strings de clave para más adelante.

OpenLDAP

  1. Usa el comando ldapadd para agregar una nueva entrada de cuenta de servicio al directorio. Asegúrate de que la cuenta tenga permiso para leer el directorio y acceder a la información del usuario.
  2. Guarda el Nombre distinguido completo del usuario y la contraseña para usarlos más adelante.

Próximos pasos

Asegúrate de que el administrador de clústeres que configura GKE Identity Service tenga los detalles de acceso del servidor LDAP del paso anterior o continúa tú mismo con la configuración de clústeres para GKE Identity Service con LDAP.