Configurer le fournisseur LDAP pour GKE Identity Service

Ce document est destiné aux administrateurs de plate-forme ou à toute personne chargée de gérer la configuration des identités dans votre organisation. Il explique comment configurer le fournisseur d'identité LDAP (Lightweight Directory Access Protocol) que vous avez choisi pour GKE Identity Service.

GKE Identity Service avec LDAP ne peut être utilisé qu'avec Google Distributed Cloud et Google Distributed Cloud.

Avant de commencer

Tout au long de cette configuration, vous devrez peut-être consulter la documentation de votre serveur LDAP. Les guides d'administration suivants décrivent la configuration de certains fournisseurs LDAP courants et indiquent où trouver les informations pour vous connecter au serveur LDAP :

Obtenir les informations de connexion LDAP

GKE Identity Service a besoin d'un secret de compte de service pour s'authentifier auprès du serveur LDAP et récupérer les informations utilisateur. Il existe deux types de comptes de service autorisés dans l'authentification LDAP : l'authentification de base (à l'aide d'un nom d'utilisateur et d'un mot de passe pour s'authentifier auprès du serveur) ou le certificat client (à l'aide d'une clé privée du client et d'un certificat client). Pour savoir quel type est accepté sur votre serveur LDAP spécifique, consultez sa documentation. En règle générale, Google LDAP n'accepte qu'un certificat client en tant que compte de service. OpenLDAP, Microsoft Active Directory et Azure AD n'acceptent que l'authentification de base de manière native.

Les instructions suivantes vous expliquent comment créer un client et obtenir les informations de connexion du serveur LDAP pour certains fournisseurs courants. Pour les autres fournisseurs LDAP, consultez la documentation sur l'administrateur du serveur.

Azure AD/Active Directory

  1. Suivez les instructions de l'interface utilisateur pour créer un compte utilisateur.
  2. Enregistrez le nom distinctif (DN) et le mot de passe complets de l'utilisateur pour plus tard.

Google LDAP

  1. Assurez-vous d'être connecté à votre compte Google Workspace ou Cloud Identity sur accounts.google.com.
  2. Connectez-vous à la console d'administration Google à l'aide du compte.
  3. Dans le menu de gauche, sélectionnez Applications - LDAP.
  4. Cliquez sur Ajouter un client.
  5. Ajoutez le nom et la description du client choisi, puis cliquez sur Continuer.
  6. Dans la section Autorisations d'accès, vérifiez que le client dispose des autorisations appropriées pour accéder à votre annuaire et aux informations utilisateur.
  7. Téléchargez le certificat client et terminez la création du client. Le téléchargement du certificat permet également de télécharger la clé correspondante.

  8. Exécutez les commandes suivantes dans le répertoire approprié pour encoder le certificat et la clé en base64, en remplaçant les noms de fichiers du certificat et de la clé téléchargés :

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. Enregistrez le certificat chiffré et les chaînes de clé pour pouvoir les utiliser ultérieurement.

OpenLDAP

  1. Exécutez la commande ldapadd pour ajouter une entrée de compte de service dans l'annuaire. Assurez-vous que le compte est autorisé à lire l'annuaire et à accéder aux informations utilisateur.
  2. Enregistrez le nom distinctif (DN) et le mot de passe complets de l'utilisateur pour plus tard.

Étape suivante

Votre administrateur de cluster peut configurer GKE Identity Service pour des clusters individuels ou pour un parc.