Configura un provider LDAP per GKE Identity Service

Questo documento spiega come configurare il tuo provider Lightweight Directory Access Protocol (LDAP) preferito per l'utilizzo con GKE Identity Service. Per saperne di più su GKE Identity Service, consulta la panoramica.

Questo documento è rivolto agli amministratori della piattaforma o a chiunque gestisca la configurazione delle identità nella tua organizzazione. Se sei un amministratore del cluster o un operatore di applicazione, tu o l'amministratore della tua piattaforma dovete seguire questa sezione prima di iniziare Configurare i cluster per il servizio GKE Identity con LDAP.

Al momento, GKE Identity Service con LDAP può essere utilizzato solo con GKE su VMware e GKE su Bare Metal.

Prima di iniziare

Durante la configurazione, potresti dover fare riferimento alla documentazione del tuo server LDAP. Le seguenti guide per gli amministratori illustrano la configurazione per alcuni provider LDAP comuni, incluso dove trovare le informazioni necessarie per accedere al server LDAP:

Ottenere i dettagli di accesso LDAP

GKE Identity Service ha bisogno di un secret dell'account di servizio per eseguire l'autenticazione sul server LDAP e recuperare i dettagli dell'utente. Nell'autenticazione LDAP sono consentiti due tipi di account di servizio: l'autenticazione di base (che utilizza un nome utente e una password per l'autenticazione sul server) o un certificato client (con una chiave privata del client e un certificato client). Per sapere quale tipo è supportato nel tuo server LDAP specifico, consulta la relativa documentazione. In genere, Google LDAP supporta solo un certificato client come account di servizio. OpenLDAP, Microsoft Active Directory e Azure AD supportano solo l'autenticazione di base in modo nativo.

Le seguenti istruzioni mostrano come creare un client e ottenere i dettagli di accesso al server LDAP per alcuni dei provider più diffusi. Per altri provider LDAP, consulta la documentazione per gli amministratori del server.

Azure AD/Active Directory

  1. Segui le istruzioni dell'interfaccia utente per creare un nuovo account utente.
  2. Salva il nome distinto (DN) e la password completi dell'utente per utilizzarli in un secondo momento.

Google LDAP

  1. Assicurati di aver eseguito l'accesso al tuo account Google Workspace o Cloud Identity su accounts.google.com.
  2. Accedi alla Console di amministrazione Google con l'account.
  3. Seleziona Apps - LDAP dal menu a sinistra.
  4. Fai clic su Aggiungi client.
  5. Aggiungi il nome e la descrizione del cliente selezionati e fai clic su Continua.
  6. Nella sezione Autorizzazioni di accesso, assicurati che il client disponga delle autorizzazioni appropriate per leggere la tua directory e accedere alle informazioni utente.
  7. Scarica il certificato client e completa la creazione del client. Scaricando il certificato viene scaricata anche la chiave corrispondente.

  8. Esegui i comandi seguenti nella directory pertinente per codificare il certificato e la chiave in base64, sostituendo i nomi dei file del certificato e della chiave scaricati:

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. Salva il certificato criptato e le stringhe della chiave per un secondo momento.

OpenLDAP

  1. Utilizza il comando ldapadd per aggiungere nella directory una nuova voce di account di servizio. Assicurati che l'account disponga dell'autorizzazione per leggere la directory e accedere alle informazioni utente.
  2. Salva il nome distinto (DN) e la password completi dell'utente per utilizzarli in un secondo momento.

Che cosa succede dopo?

Assicurati che l'amministratore del cluster che sta configurando GKE Identity Service disponga dei dettagli di accesso al server LDAP del passaggio precedente oppure vai a Configurare i cluster per GKE Identity Service con LDAP.