为 GKE Identity Service 配置 LDAP 提供方

本文档适用于平台管理员或组织中管理身份设置的人员。本文档介绍如何为 GKE Identity Service 配置所选的轻量级目录访问协议 (LDAP) 身份提供方。

使用 LDAP 的 GKE Identity Service 只能与 Google Distributed CloudGoogle Distributed Cloud 搭配使用。

准备工作

在设置过程中,您可能需要参考 LDAP 服务器的文档。以下管理员指南介绍了一些常用 LDAP 提供商的配置,包括在何处查找登录 LDAP 服务器所需的信息:

获取 LDAP 登录详细信息

GKE Identity Service 需要服务账号密钥才能向 LDAP 服务器进行身份验证并检索用户详细信息。LDAP 身份验证、基本身份验证(使用用户名和密码向服务器进行身份验证)或客户端证书(使用客户端私钥和客户端证书)允许两种类型的服务账号。如需了解特定 LDAP 服务器支持的类型,请参阅其相应文档。通常,Google LDAP 仅支持客户端证书作为服务账号。OpenLDAP、Microsoft Active Directory 和 Azure AD 原生仅支持基本身份验证。

以下说明展示了如何创建客户端以及获取某些常用提供商的 LDAP 服务器登录详细信息。对于其他 LDAP 提供商,请参阅服务器的管理员文档。

Azure AD/Active Directory

  1. 按照界面说明创建新的用户账号。
  2. 保存完整的用户标识名 (DN) 和密码以供日后使用。

Google LDAP

  1. 确保您已在 accounts.google.com 中登录您的 Google Workspace 或 Cloud Identity 账号。
  2. 使用该账号登录 Google 管理控制台
  3. 从左侧菜单中选择应用 - LDAP
  4. 点击添加客户端
  5. 添加所选客户端名称和说明,然后点击继续
  6. 访问权限部分,确保客户端具有读取目录和访问用户信息所需的权限。
  7. 下载客户端证书并完成客户端创建过程。下载证书也会下载相应的密钥。

  8. 在相关目录中运行以下命令,以对证书和密钥进行 base64 编码,并替换下载的证书和密钥的文件名:

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. 保存加密的证书和密钥字符串以供日后使用。

OpenLDAP

  1. 使用 ldapadd 命令在目录中添加新的服务账号条目。确保该账号有权读取目录并访问用户信息。
  2. 保存完整的用户标识名 (DN) 和密码以供日后使用。

后续步骤

集群管理员可以为各个集群舰队设置 GKE Identity Service。