Configurar el proveedor de LDAP para GKE Identity Service

Este documento está dirigido a los administradores de la plataforma o a cualquier persona que gestione la configuración de la identidad en tu organización. En este artículo se explica cómo configurar el proveedor de identidades protocolo ligero de acceso a directorios (LDAP) que hayas elegido para Identity Service de GKE.

GKE Identity Service con LDAP solo se puede usar con Google Distributed Cloud y Google Distributed Cloud.

Antes de empezar

Durante la configuración, es posible que tengas que consultar la documentación de tu servidor LDAP. En las siguientes guías para administradores se explica la configuración de algunos proveedores de LDAP populares, incluido dónde encontrar la información que necesitas para iniciar sesión en el servidor LDAP:

Obtener los detalles de inicio de sesión de LDAP

GKE Identity Service necesita un secreto de cuenta de servicio para autenticarse en el servidor LDAP y obtener los detalles del usuario. Hay dos tipos de cuentas de servicio permitidas en la autenticación LDAP: la autenticación básica (que usa un nombre de usuario y una contraseña para autenticarse en el servidor) o el certificado de cliente (que usa una clave privada y un certificado de cliente). Para saber qué tipo se admite en tu servidor LDAP, consulta su documentación. Por lo general, Google LDAP solo admite un certificado de cliente como cuenta de servicio. OpenLDAP, Microsoft Active Directory y Azure AD solo admiten la autenticación básica de forma nativa.

En las siguientes instrucciones se explica cómo crear un cliente y obtener los detalles de inicio de sesión del servidor LDAP de algunos proveedores populares. Para otros proveedores de LDAP, consulta la documentación del administrador del servidor.

Azure AD/Active Directory

  1. Sigue las instrucciones de la interfaz de usuario para crear una cuenta de usuario.
  2. Guarda el nombre completo del usuario (DN) y la contraseña para más adelante.

Google LDAP

  1. Asegúrate de haber iniciado sesión en tu cuenta de Google Workspace o Cloud Identity en accounts.google.com.
  2. Inicia sesión en la consola de administración de Google con la cuenta.
  3. En el menú de la izquierda, selecciona Aplicaciones - LDAP.
  4. Haz clic en Add client.
  5. Añade el nombre y la descripción del cliente que hayas elegido y haz clic en Continuar.
  6. En la sección Permisos de acceso, comprueba que el cliente tenga los permisos adecuados para leer tu directorio y acceder a la información de los usuarios.
  7. Descarga el certificado de cliente y completa la creación del cliente. Al descargar el certificado, también se descarga la clave correspondiente.

  8. Ejecuta los siguientes comandos en el directorio correspondiente para codificar en Base64 el certificado y la clave. Sustituye los nombres de archivo del certificado y la clave que has descargado:

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. Guarda las cadenas de certificado y clave cifradas para más adelante.

OpenLDAP

  1. Usa el comando ldapadd para añadir una nueva entrada de cuenta de servicio al directorio. Asegúrate de que la cuenta tenga permiso para leer el directorio y acceder a la información del usuario.
  2. Guarda el nombre completo del usuario (DN) y la contraseña para más adelante.

Siguientes pasos

El administrador de tu clúster puede configurar GKE Identity Service para clústeres individuales o para una flota.