LDAP-Anbieter für GKE Identity Service einrichten

In diesem Dokument wird erläutert, wie Sie Ihren bevorzugten LDAP-Anbieter (Lightweight Directory Access Protocol) für die Verwendung mit GKE Identity Service einrichten. Weitere Informationen zu GKE Identity Service finden Sie in der Übersicht.

Dieses Dokument richtet sich an Plattformadministratoren bzw. an die Person, die die Identitätseinrichtung in Ihrer Organisation verwaltet. Wenn Sie ein Clusteradministrator oder Anwendungsoperator sind, müssen Sie oder Ihr Plattformadministrator diesen Abschnitt befolgen, bevor Sie mit dem Konfigurieren von Clustern für GKE Identity Service mit LDAP beginnen.

GKE Identity Service mit LDAP kann derzeit nur mit GKE on VMware und GKE on Bare Metal verwendet werden.

Hinweise

Während der Einrichtung müssen Sie möglicherweise die Dokumentation des LDAP-Servers lesen. Im Folgenden werden die Konfigurationen für einige beliebte LDAP-Anbieter erläutert. Außerdem erfahren Sie, wo Sie die Informationen finden, die Sie für die Anmeldung beim LDAP-Server benötigen:

LDAP-Anmeldedetails abrufen

GKE Identity Service benötigt ein Dienstkonto-Secret, um sich beim LDAP-Server zu authentifizieren und Nutzerdetails abzurufen. Für die LDAP-Authentifizierung sind zwei Arten von Dienstkonten zulässig: die Basisauthentifizierung (mit einem Nutzernamen und einem Passwort zur Authentifizierung beim Server) oder ein Clientzertifikat (mit einem privaten Clientschlüssel und einem Clientzertifikat). Informationen dazu, welcher Typ in Ihrem spezifischen LDAP-Server unterstützt wird, finden Sie in der Dokumentation. Im Allgemeinen unterstützt Google LDAP nur ein Clientzertifikat als Dienstkonto. OpenLDAP, Microsoft Active Directory und Azure AD unterstützen nativ nur die Basisauthentifizierung.

Die folgende Anleitung zeigt, wie Sie einen Client erstellen und die Anmeldedaten für den LDAP-Server für einige beliebte Anbieter abrufen. Informationen zu anderen LDAP-Anbietern finden Sie in der Administratordokumentation zum Server.

Azure AD/Active Directory

  1. Folgen Sie der Anleitung in der Benutzeroberfläche, um ein neues Nutzerkonto zu erstellen.
  2. Speichern Sie den vollständigen DN (Distinguished Name) des Nutzers und das Passwort für später.

Google LDAP

  1. Sie müssen in Ihrem Google Workspace- oder Cloud Identity-Konto unter accounts.google.com angemeldet sein.
  2. Melden Sie sich mit dem Konto in der Admin-Konsole an.
  3. Wählen Sie im linken Menü AppsLDAP aus.
  4. Klicken Sie auf Client hinzufügen.
  5. Fügen Sie den ausgewählten Clientnamen und die Beschreibung hinzu und klicken Sie auf Weiter.
  6. Achten Sie im Abschnitt Zugriffsberechtigungen darauf, dass der Client die entsprechenden Berechtigungen zum Lesen Ihres Verzeichnisses und zum Zugriff auf Nutzerinformationen hat.
  7. Laden Sie das Clientzertifikat herunter und schließen Sie die Erstellung des Clients ab. Wenn Sie das Zertifikat herunterladen, wird auch der entsprechende Schlüssel heruntergeladen.

  8. Führen Sie die folgenden Befehle im relevanten Verzeichnis aus, um das Zertifikat und den Schlüssel mit base64 zu codieren. Ersetzen Sie dabei die Dateinamen des heruntergeladenen Zertifikats und des Schlüssels.

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. Speichern Sie das verschlüsselte Zertifikat und die Schlüsselstrings für später.

OpenLDAP

  1. Verwenden Sie den Befehl ldapadd, um dem Verzeichnis einen neuen Dienstkontoeintrag hinzuzufügen. Sorgen Sie dafür, dass das Konto berechtigt ist, das Verzeichnis zu lesen und auf Nutzerinformationen zuzugreifen.
  2. Speichern Sie den vollständigen DN (Distinguished Name) des Nutzers und das Passwort für später.

Nächste Schritte

Achten Sie darauf, dass der Clusteradministrator, der GKE Identity Service einrichtet, die Anmeldedaten für den LDAP-Server aus dem vorherigen Schritt hat, oder fahren Sie mit Cluster für GKE Identity Service mit LDAP konfigurieren fort.