Menyiapkan penyedia LDAP untuk GKE Identity Service

Dokumen ini menjelaskan cara menyiapkan penyedia Lightweight Directory Access Protocol (LDAP) pilihan Anda untuk digunakan dengan GKE Identity Service. Untuk mengetahui selengkapnya tentang GKE Identity Service, lihat ringkasan.

Dokumen ini ditujukan untuk administrator platform, atau siapa pun yang mengelola penyiapan identitas di organisasi Anda. Jika Anda adalah administrator cluster atau operator aplikasi, Anda atau administrator platform harus mengikuti bagian ini sebelum memulai Mengonfigurasi cluster untuk GKE Identity Service dengan LDAP.

GKE Identity Service dengan LDAP saat ini hanya dapat digunakan dengan GKE di VMware dan GKE di Bare Metal saja.

Sebelum memulai

Sepanjang penyiapan ini, Anda mungkin perlu melihat dokumentasi untuk server LDAP. Panduan administrator berikut menjelaskan konfigurasi untuk beberapa penyedia LDAP populer, termasuk tempat menemukan informasi yang diperlukan untuk masuk ke server LDAP:

Mendapatkan detail login LDAP

GKE Identity Service memerlukan rahasia akun layanan untuk melakukan autentikasi ke server LDAP dan mengambil detail pengguna. Ada dua jenis akun layanan yang diizinkan dalam autentikasi LDAP, autentikasi dasar (menggunakan nama pengguna dan sandi untuk mengautentikasi ke server) atau sertifikat klien (menggunakan kunci pribadi klien dan sertifikat klien). Untuk mengetahui jenis yang didukung di server LDAP tertentu, lihat dokumentasinya. Umumnya, Google LDAP hanya mendukung sertifikat klien sebagai akun layanan. OpenLDAP, Microsoft Active Directory, dan Azure AD hanya mendukung autentikasi dasar secara native.

Petunjuk berikut menunjukkan cara membuat klien dan mendapatkan detail login server LDAP untuk beberapa penyedia populer. Untuk penyedia LDAP lainnya, lihat dokumentasi administrator server.

Azure AD/Active Directory

  1. Ikuti petunjuk UI untuk membuat akun pengguna baru.
  2. Simpan sandi dan Nama yang Dibedakan (DN) pengguna secara lengkap untuk nanti.

LDAP Google

  1. Pastikan Anda login ke akun Google Workspace atau Cloud Identity di accounts.google.com.
  2. Login ke konsol Google Admin dengan akun tersebut.
  3. Pilih Aplikasi - LDAP dari menu kiri.
  4. Klik Tambahkan klien.
  5. Tambahkan nama dan deskripsi klien yang Anda pilih, lalu klik Lanjutkan.
  6. Di bagian Izin akses, pastikan bahwa klien memiliki izin yang sesuai untuk membaca direktori Anda dan mengakses informasi pengguna.
  7. Download sertifikat klien dan selesaikan pembuatan klien. Mendownload sertifikat juga akan mendownload kunci yang sesuai.

  8. Jalankan perintah berikut di direktori yang relevan untuk mengenkode sertifikat dan kunci base64, dengan mengganti nama file dari sertifikat dan kunci yang Anda download:

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. Simpan sertifikat dan string kunci yang dienkripsi untuk digunakan nanti.

OpenLDAP

  1. Gunakan perintah ldapadd untuk menambahkan entri akun layanan baru ke direktori. Pastikan bahwa akun memiliki izin untuk membaca direktori dan mengakses informasi pengguna.
  2. Simpan sandi dan Nama yang Dibedakan (DN) pengguna secara lengkap untuk nanti.

Apa langkah selanjutnya?

Pastikan administrator cluster yang menyiapkan GKE Identity Service memiliki detail login server LDAP dari langkah sebelumnya, atau lanjutkan ke Mengonfigurasi cluster untuk GKE Identity Service dengan LDAP.