Configurer un fournisseur LDAP pour GKE Identity Service

Ce document explique comment configurer le fournisseur d'accès LDAP (Lightweight Directory Access Protocol) à utiliser en priorité avec GKE Identity Service. Pour en savoir plus sur GKE Identity Service, consultez la présentation.

Ce document est destiné aux administrateurs de plate-forme ou à toute personne chargée de gérer la configuration des identités dans votre organisation. Si vous êtes administrateur de cluster ou opérateur d'application, vous ou votre administrateur de plate-forme devez suivre cette section avant de commencer à configurer des clusters pour GKE Identity Service avec LDAP.

GKE Identity Service avec LDAP ne peut actuellement être utilisé qu'avec GKE sur VMware et GKE on Bare Metal.

Avant de commencer

Tout au long de cette configuration, vous devrez peut-être consulter la documentation de votre serveur LDAP. Les guides d'administration suivants décrivent la configuration de certains fournisseurs LDAP courants et indiquent où trouver les informations pour vous connecter au serveur LDAP :

Obtenir les informations de connexion LDAP

GKE Identity Service a besoin d'un secret de compte de service pour s'authentifier auprès du serveur LDAP et récupérer les informations utilisateur. Il existe deux types de comptes de service autorisés dans l'authentification LDAP : l'authentification de base (à l'aide d'un nom d'utilisateur et d'un mot de passe pour s'authentifier auprès du serveur) ou le certificat client (à l'aide d'une clé privée du client et d'un certificat client). Pour savoir quel type est accepté sur votre serveur LDAP spécifique, consultez sa documentation. En règle générale, Google LDAP n'accepte qu'un certificat client en tant que compte de service. OpenLDAP, Microsoft Active Directory et Azure AD n'acceptent que l'authentification de base de manière native.

Les instructions suivantes vous expliquent comment créer un client et obtenir les informations de connexion du serveur LDAP pour certains fournisseurs courants. Pour les autres fournisseurs LDAP, consultez la documentation sur l'administrateur du serveur.

Azure AD/Active Directory

  1. Suivez les instructions de l'interface utilisateur pour créer un compte utilisateur.
  2. Enregistrez le nom distinctif (DN) et le mot de passe complets de l'utilisateur pour plus tard.

Google LDAP

  1. Assurez-vous d'être connecté à votre compte Google Workspace ou Cloud Identity sur accounts.google.com.
  2. Connectez-vous à la console d'administration Google à l'aide du compte.
  3. Dans le menu de gauche, sélectionnez Applications - LDAP.
  4. Cliquez sur Ajouter un client.
  5. Ajoutez le nom et la description du client choisi, puis cliquez sur Continuer.
  6. Dans la section Autorisations d'accès, vérifiez que le client dispose des autorisations appropriées pour accéder à votre annuaire et aux informations utilisateur.
  7. Téléchargez le certificat client et terminez la création du client. Le téléchargement du certificat permet également de télécharger la clé correspondante.

  8. Exécutez les commandes suivantes dans le répertoire approprié pour encoder le certificat et la clé en base64, en remplaçant les noms de fichiers du certificat et de la clé téléchargés :

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. Enregistrez le certificat chiffré et les chaînes de clé pour pouvoir les utiliser ultérieurement.

OpenLDAP

  1. Exécutez la commande ldapadd pour ajouter une entrée de compte de service dans l'annuaire. Assurez-vous que le compte est autorisé à lire l'annuaire et à accéder aux informations utilisateur.
  2. Enregistrez le nom distinctif (DN) et le mot de passe complets de l'utilisateur pour plus tard.

Étape suivante

Assurez-vous que l'administrateur de cluster qui configure GKE Identity Service dispose des informations de connexion du serveur LDAP, obtenues à l'étape précédente, ou passez directement à la section Configurer des clusters pour GKE Identity Service avec LDAP.