GKE Identity Service의 LDAP 공급업체 설정

이 문서에서는 GKE Identity Service에서 사용하려는 경량 디렉터리 액세스 프로토콜(LDAP) 공급업체를 설정하는 방법을 설명합니다. GKE Identity Service에 대한 자세한 내용은 개요를 참조하세요.

이 문서는 플랫폼 관리자나 조직의 ID 설정을 관리하는 사용자를 대상으로 합니다. 클러스터 관리자나 애플리케이션 운영자라면 LDAP를 사용하여 GKE Identity Service용 클러스터 구성을 시작하기 전에 본인이나 플랫폼 관리자가 이 섹션을 따라야 합니다.

현재 LDAP가 있는 GKE Identity Service는 VMware용 GKE 또는 베어메탈용 GKE에서만 사용할 수 있습니다.

시작하기 전에

이 설정을 진행하는 동안 LDAP 서버의 문서를 참조해야 할 수 있습니다. 다음 관리자 가이드에서는 LDAP 서버에 로그인하는 데 필요한 정보를 찾을 수 있는 위치를 포함하여 많이 사용되는 일부 LDAP 제공업체 구성을 설명합니다.

LDAP 로그인 세부정보 가져오기

GKE Identity Service를 통해 LDAP 서버에 인증하고 사용자 세부정보를 검색하려면 서비스 계정 보안 비밀이 필요합니다. LDAP 인증에 허용되는 두 가지 서비스 계정 유형은 기본 인증(서버 인증을 위해 사용자 이름과 비밀번호 사용) 또는 클라이언트 인증서(클라이언트 비공개 키 및 클라이언트 인증서 사용)입니다. 해당 LDAP 서버에서 지원되는 유형을 찾아보려면 해당 문서를 참조하세요. 일반적으로 Google LDAP는 서비스 계정으로 클라이언트 인증서만 지원합니다. OpenLDAP, Microsoft Active Directory, Azure AD는 기본적으로 기본 인증만 지원합니다.

다음 안내는 클라이언트를 만들고 일부 인기 있는 제공업체에 대한 LDAP 서버 로그인 세부정보를 가져오는 방법을 보여줍니다. 다른 LDAP 제공업체의 경우 서버의 관리자 문서를 참조하세요.

Azure AD/Active Directory

  1. UI 안내에 따라 새 사용자 계정을 만듭니다.
  2. 나중을 위해 전체 사용자 고유 이름(DN)과 비밀번호를 저장합니다.

Google LDAP

  1. accounts.google.com에서 Google Workspace 또는 Cloud Identity 계정에 로그인되었는지 확인합니다.
  2. 계정으로 Google 관리 콘솔에 로그인합니다.
  3. 왼쪽 메뉴에서 - LDAP를 선택합니다.
  4. 클라이언트 추가를 클릭합니다.
  5. 선택한 클라이언트 이름과 설명을 추가하고 계속을 클릭합니다.
  6. 액세스 권한 섹션에서 클라이언트에 디렉터리 읽기 및 사용자 정보 액세스를 위해 적절한 권한이 있는지 확인합니다.
  7. 클라이언트 인증서를 다운로드하고 클라이언트 만들기를 완료합니다. 인증서를 다운로드하면 해당 키도 다운로드됩니다.

  8. 관련 디렉터리에서 해당 명령어를 실행하여 인증서 및 키를 base64로 인코딩하고 다운로드한 인증서 및 키의 파일 이름으로 바꿉니다.

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. 나중을 위해 암호화된 키 인증서와 키 문자열을 저장합니다.

OpenLDAP

  1. ldapadd 명령어를 사용하여 디렉터리에 새 서비스 계정 항목을 추가합니다. 계정에 디렉터리 읽기 및 사용자 정보 액세스 권한이 있는지 확인합니다.
  2. 나중을 위해 전체 사용자 고유 이름(DN)과 비밀번호를 저장합니다.

다음 단계

GKE Identity Service를 설정하는 클러스터 관리자에게 이전 단계의 LDAP 서버 로그인 세부정보가 있는지 확인하거나 LDAP를 사용하여 GKE Identity Service용 클러스터 구성을 진행합니다.