Mengonfigurasi penyedia LDAP untuk GKE Identity Service

Dokumen ini ditujukan untuk administrator platform, atau siapa pun yang mengelola penyiapan identitas di organisasi Anda. Panduan ini menjelaskan cara mengonfigurasi penyedia identitas Lightweight Directory Access Protocol (LDAP) yang Anda pilih untuk GKE Identity Service.

GKE Identity Service dengan LDAP hanya dapat digunakan dengan GKE di VMware dan GKE di Bare Metal.

Sebelum memulai

Selama penyiapan ini, Anda mungkin perlu merujuk ke dokumentasi untuk server LDAP Anda. Panduan administrator berikut menjelaskan konfigurasi untuk beberapa penyedia LDAP populer, termasuk tempat menemukan informasi yang Anda perlukan untuk masuk ke server LDAP:

Mendapatkan detail login LDAP

GKE Identity Service memerlukan rahasia akun layanan untuk melakukan autentikasi ke server LDAP dan mengambil detail pengguna. Ada dua jenis akun layanan yang diizinkan dalam otentikasi LDAP, auth dasar (menggunakan nama pengguna dan sandi untuk mengotentikasi ke server) atau sertifikat klien (menggunakan kunci pribadi klien dan sertifikat klien). Untuk mengetahui jenis apa yang didukung di server LDAP tertentu Anda, lihat dokumentasinya. Umumnya, LDAP Google hanya mendukung sertifikat klien sebagai akun layanan. OpenLDAP, Microsoft Active Directory, dan Azure AD hanya mendukung autentikasi dasar secara native.

Petunjuk berikut menunjukkan cara membuat klien dan mendapatkan detail login server LDAP untuk beberapa penyedia populer. Untuk penyedia LDAP lainnya, lihat dokumentasi administrator server.

Azure AD/Active Directory

  1. Ikuti petunjuk UI untuk membuat akun pengguna baru.
  2. Simpan seluruh nama yang dibedakan pengguna (DN) dan sandi untuk digunakan di lain waktu.

LDAP Google

  1. Pastikan Anda login ke akun Google Workspace atau Cloud Identity di accounts.google.com.
  2. Login ke konsol Google Admin dengan akun.
  3. Pilih Aplikasi - LDAP dari menu kiri.
  4. Klik Tambahkan klien.
  5. Tambahkan nama dan deskripsi klien yang Anda pilih, lalu klik Continue.
  6. Di bagian Izin akses, pastikan klien memiliki izin yang sesuai untuk membaca direktori Anda dan mengakses informasi pengguna.
  7. Download sertifikat klien dan selesaikan pembuatan klien. Mendownload sertifikat juga akan mendownload kunci yang sesuai.

  8. Jalankan perintah berikut di direktori yang relevan untuk mengenkode sertifikat dan kunci base64, dengan menggantikan nama file sertifikat dan kunci yang Anda download:

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. Simpan sertifikat terenkripsi dan string kunci untuk digunakan di lain waktu.

OpenLDAP

  1. Gunakan perintah ldapadd untuk menambahkan entri akun layanan baru ke direktori. Pastikan akun memiliki izin untuk membaca direktori dan mengakses informasi pengguna.
  2. Simpan seluruh nama yang dibedakan pengguna (DN) dan sandi untuk digunakan di lain waktu.

Langkah selanjutnya

Administrator cluster Anda dapat menyiapkan GKE Identity Service untuk cluster individual atau fleet.