GKE Identity Service 用に LDAP プロバイダを構成する
このドキュメントは、組織のプラットフォーム管理者または ID 設定の管理者を対象としています。このドキュメントでは、選択した Lightweight Directory Access Protocol(LDAP) ID プロバイダを GKE Identity Service 用に構成する方法について説明します。
LDAP を使用する GKE Identity Service は、Google Distributed Cloud と Google Distributed Cloud でのみ使用できます。
始める前に
この設定を実施している途中で、LDAP サーバーのドキュメントの参照が必要になることがあります。管理者向けの次のガイドには、広く利用されている一部の LDAP プロバイダの構成が説明されています。たとえば、LDAP サーバーへのログインに必要な情報を得る方法などが記載されています。
LDAP ログインの詳細を取得する
GKE Identity Service が LDAP サーバーを認証し、ユーザーの詳細情報を取得するには、サービス アカウントの Secret が必要です。LDAP 認証で許可されるサービス アカウントには、基本認証(ユーザー名とパスワードを使用してサーバーを認証)とクライアント証明書(クライアントの秘密鍵とクライアント証明書を使用)の 2 種類があります。特定の LDAP サーバーでサポートされている種類を確認するには、LDAP サーバーのドキュメントをご覧ください。通常、Google LDAP では、サービス アカウントとしてクライアント証明書のみがサポートされます。OpenLDAP、Microsoft Active Directory、Azure AD では、基本認証のみがネイティブでサポートされます。
以下の手順は、クライアントを作成する方法と、一般的なプロバイダの LDAP サーバーのログインの詳細を取得する方法について説明します。その他の LDAP プロバイダについては、サーバー管理者のドキュメントをご覧ください。
Azure AD / Active Directory
- UI で新しいユーザー アカウントを作成します。
- 後で使用するため、完全なユーザー識別名(DN)とパスワードを保存します。
Google LDAP
- accounts.google.com に Google Workspace アカウントまたは Cloud Identity アカウントにログインしていることを確認します。
- そのアカウントで Google 管理コンソールにログインします。
- 左側のメニューから [アプリ]、[LDAP] の順に選択します。
- [クライアントを追加] をクリックします。
- 任意のクライアントの名前と説明を追加し、[続行] をクリックします。
- [アクセス権限] セクションで、ディレクトリを読み取り、ユーザー情報にアクセスするための権限がクライアントにあることを確認します。
- クライアント証明書をダウンロードして、クライアントの作成を完了します。証明書をダウンロードすると、対応する鍵もダウンロードされます。
ダウンロードした証明書と鍵のファイル名を使用して、適切なディレクトリで次のコマンドを実行し、証明書と鍵を base64 エンコードします。
cat CERTIFICATE_FILENAME.crt | base64 cat KEY_FILENAME.key | base64
後で使用するため、暗号化された証明書と鍵の文字列を保存します。
OpenLDAP
ldapadd
コマンドを使用して、新しいサービス アカウントのエントリをディレクトリに追加します。ディレクトリを読み取り、ユーザー情報にアクセスするための権限がアカウントに付与されていることを確認します。- 後で使用するため、完全なユーザー識別名(DN)とパスワードを保存します。
次のステップ
クラスタ管理者は、個別のクラスタまたはフリートに対して GKE Identity Service を設定できます。