GKE Identity Service に LDAP プロバイダを設定する

このドキュメントでは、GKE Identity Service で使用する Lightweight Directory Access Protocol(LDAP)プロバイダの設定方法について説明します。GKE Identity Service の詳細については、概要をご覧ください。

このドキュメントは、組織のプラットフォーム管理者または ID 設定の管理者を対象としています。クラスタ管理者やアプリケーション オペレータ、またはプラットフォーム管理者は、LDAP を使用して GKE Identity Service にクラスタを構成するの作業を始める前に、このセクションで説明する操作を行う必要があります。

現在、LDAP を使用する GKE Identity Service は、GKE on VMwareGKE on Bare Metal でのみ使用できます。

始める前に

この設定を実施している途中で、LDAP サーバーのドキュメントの参照が必要になることがあります。管理者向けの次のガイドには、広く利用されている一部の LDAP プロバイダの構成が説明されています。たとえば、LDAP サーバーへのログインに必要な情報を得る方法などが記載されています。

LDAP ログインの詳細を取得する

GKE Identity Service が LDAP サーバーを認証し、ユーザーの詳細情報を取得するには、サービス アカウントの Secret が必要です。LDAP 認証で許可されるサービス アカウントには、基本認証(ユーザー名とパスワードを使用してサーバーを認証)とクライアント証明書(クライアントの秘密鍵とクライアント証明書を使用)の 2 種類があります。特定の LDAP サーバーでサポートされている種類を確認するには、LDAP サーバーのドキュメントをご覧ください。通常、Google LDAP では、サービス アカウントとしてクライアント証明書のみがサポートされます。OpenLDAP、Microsoft Active Directory、Azure AD では、基本認証のみがネイティブでサポートされます。

以下の手順は、クライアントを作成する方法と、一般的なプロバイダの LDAP サーバーのログインの詳細を取得する方法について説明します。その他の LDAP プロバイダについては、サーバー管理者のドキュメントをご覧ください。

Azure AD / Active Directory

  1. UI で新しいユーザー アカウントを作成します。
  2. 後で使用するため、完全なユーザー識別名(DN)とパスワードを保存します。

Google LDAP

  1. accounts.google.com に Google Workspace アカウントまたは Cloud Identity アカウントにログインしていることを確認します。
  2. そのアカウントで Google 管理コンソールにログインします。
  3. 左側のメニューから [アプリ]、[LDAP] の順に選択します。
  4. [クライアントを追加] をクリックします。
  5. 任意のクライアントの名前と説明を追加し、[続行] をクリックします。
  6. [アクセス権限] セクションで、ディレクトリを読み取り、ユーザー情報にアクセスするための権限がクライアントにあることを確認します。
  7. クライアント証明書をダウンロードして、クライアントの作成を完了します。証明書をダウンロードすると、対応する鍵もダウンロードされます。

  8. ダウンロードした証明書と鍵のファイル名を使用して、適切なディレクトリで次のコマンドを実行し、証明書と鍵を base64 エンコードします。

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. 後で使用するため、暗号化された証明書と鍵の文字列を保存します。

OpenLDAP

  1. ldapadd コマンドを使用して、新しいサービス アカウントのエントリをディレクトリに追加します。ディレクトリを読み取り、ユーザー情報にアクセスするための権限がアカウントに付与されていることを確認します。
  2. 後で使用するため、完全なユーザー識別名(DN)とパスワードを保存します。

次のステップ

GKE Identity Service を設定するクラスタ管理者が、前の手順の LDAP サーバーのログインの詳細情報を取得していることを確認するか、LDAP を使用する GKE Identity Service にクラスタを構成するに進む。