Configurar o provedor de LDAP para o serviço de identidade do GKE

Este documento é destinado a administradores de plataforma ou a quem gerencia a configuração de identidade na organização. Ele explica como configurar o provedor de identidade do Protocolo leve de acesso a diretórios (LDAP) escolhido para o serviço de identidade do GKE.

O serviço de identidade do GKE com LDAP pode ser usado com o Google Distributed Cloud e apenas com o Google Distributed Cloud.

Antes de começar

Durante essa configuração, talvez seja necessário consultar a documentação do seu servidor LDAP. Os guias do administrador a seguir explicam a configuração de alguns provedores LDAP conhecidos, incluindo onde encontrar as informações necessárias para fazer login no servidor LDAP:

Receber detalhes de login LDAP

O Serviço de identidade do GKE precisa de um secret da conta de serviço para se autenticar no servidor LDAP e recuperar os detalhes do usuário. Há dois tipos de contas de serviço permitidas na autenticação LDAP: autenticação básica (com um nome de usuário e senha para autenticação no servidor) ou certificado do cliente (chave privada do cliente e certificado do cliente). Para descobrir qual tipo é compatível com seu servidor LDAP específico, consulte sua documentação. Geralmente, o Google LDAP é compatível apenas com um certificado do cliente como a conta de serviço. O OpenLDAP, o Microsoft Active Directory e o Azure AD são compatíveis somente com a autenticação básica.

As instruções a seguir mostram como criar um cliente e acessar detalhes de login do servidor LDAP para alguns provedores conhecidos. Para outros provedores LDAP, consulte a documentação do administrador do servidor.

Azure AD/Active Directory

  1. Siga as instruções da IU para criar uma nova conta de usuário.
  2. Salve o nome distinto (DN) e a senha completos do usuário para uso posterior.

LDAP do Google

  1. Verifique se você fez login na sua conta do Google Workspace ou do Cloud Identity em accounts.google.com.
  2. Faça login no Google Admin Console com a conta.
  3. Selecione Apps: LDAP no menu à esquerda.
  4. Clique em Adicionar cliente.
  5. Adicione a descrição e o nome do cliente escolhidos e clique em Continuar.
  6. Na seção Permissões de acesso, confirme que o cliente tem as permissões apropriadas para ler seu diretório e acessar as informações do usuário.
  7. Faça o download do certificado do cliente e conclua a criação do cliente. O download do certificado também faz o download da chave correspondente.
  8. Execute os seguintes comandos no diretório relevante para codificar o certificado e a chave em base64, substituindo os nomes de arquivo do certificado e da chave baixados:

    cat CERTIFICATE_FILENAME.crt | base64
    cat KEY_FILENAME.key | base64
    
  9. Salve o certificado criptografado e as strings de chave para mais tarde.

OpenLDAP

  1. Use o comando ldapadd para adicionar uma nova entrada de conta de serviço ao diretório. Verifique se a conta tem permissão para ler o diretório e acessar as informações do usuário.
  2. Salve o nome distinto (DN) e a senha completos do usuário para uso posterior.

A seguir

O administrador do cluster pode configurar o serviço de identidade do GKE para clusters individuais ou para uma frota.