Configura il provider LDAP per GKE Identity Service

Questo documento è rivolto agli amministratori di piattaforma o a chiunque gestisca la configurazione delle identità nella tua organizzazione. Spiega come configurare il provider di identità LDAP (Lightweight Directory Access Protocol) scelto per GKE Identity Service.

GKE Identity Service con LDAP può essere utilizzato solo con GKE on VMware e GKE on Bare Metal.

Prima di iniziare

Durante questa configurazione, potrebbe essere necessario fare riferimento alla documentazione del tuo server LDAP. Le seguenti guide per gli amministratori spiegano la configurazione di alcuni provider LDAP noti e spiegano dove trovare le informazioni necessarie per accedere al server LDAP:

Ottieni dettagli di accesso LDAP

GKE Identity Service richiede un secret dell'account di servizio per eseguire l'autenticazione sul server LDAP e recuperare i dettagli dell'utente. Esistono due tipi di account di servizio consentiti nell'autenticazione LDAP: l'autenticazione di base (che utilizza un nome utente e una password per eseguire l'autenticazione sul server) o un certificato client (utilizzando una chiave privata e un certificato client). Per sapere quale tipo è supportato nel tuo server LDAP specifico, consulta la relativa documentazione. In genere, Google LDAP supporta solo un certificato client come account di servizio. OpenLDAP, Microsoft Active Directory e Azure AD supportano solo l'autenticazione di base in modo nativo.

Le istruzioni riportate di seguito mostrano come creare un client e ottenere i dettagli di accesso al server LDAP per alcuni provider noti. Per gli altri provider LDAP, consulta la documentazione per gli amministratori del server.

Azure AD/Active Directory

  1. Segui le istruzioni dell'interfaccia utente per creare un nuovo account utente.
  2. Salva il nome distinto (DN) dell'utente e la password per utilizzarli in un secondo momento.

Google LDAP

  1. Assicurati di aver eseguito l'accesso al tuo account Google Workspace o Cloud Identity in accounts.google.com.
  2. Accedi alla Console di amministrazione Google con l'account.
  3. Seleziona App - LDAP dal menu a sinistra.
  4. Fai clic su Aggiungi cliente.
  5. Aggiungi il nome e la descrizione del cliente che hai scelto e fai clic su Continua.
  6. Nella sezione Autorizzazioni di accesso, assicurati che il client disponga delle autorizzazioni appropriate per leggere la directory e accedere alle informazioni degli utenti.
  7. Scarica il certificato client e completa la creazione del client. Scaricando il certificato viene scaricata anche la chiave corrispondente.

  8. Esegui i seguenti comandi nella directory pertinente per codificare il certificato e la chiave in base64, sostituendo i nomi dei file del certificato e della chiave scaricati:

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. Salva le stringhe della chiave e del certificato criptato per un secondo momento.

OpenLDAP

  1. Utilizza il comando ldapadd per aggiungere una nuova voce dell'account di servizio nella directory. Assicurati che l'account disponga dell'autorizzazione per leggere la directory e accedere alle informazioni dell'utente.
  2. Salva il nome distinto (DN) dell'utente e la password per utilizzarli in un secondo momento.

Passaggi successivi

L'amministratore del cluster può configurare GKE Identity Service per singoli cluster o un parco risorse.