Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
Configurar o provedor de LDAP para o serviço de identidade do GKE
Este documento é destinado a administradores de plataforma ou a quem gerencia a configuração de identidade na organização. Ele explica como configurar o provedor de identidade do Protocolo leve de acesso a diretórios (LDAP) escolhido para o serviço de identidade do GKE.
Durante essa configuração, talvez seja necessário consultar a documentação do seu servidor LDAP. Os guias do administrador a seguir explicam a configuração de alguns provedores LDAP conhecidos, incluindo onde encontrar as informações necessárias para fazer login no servidor LDAP:
O Serviço de identidade do GKE precisa de um secret da conta de serviço para se autenticar no servidor LDAP e recuperar os detalhes do usuário. Há dois tipos de contas de serviço permitidas na autenticação LDAP: autenticação básica (com um nome de usuário e senha para autenticação no servidor) ou certificado do cliente (chave privada do cliente e certificado do cliente). Para descobrir qual tipo é compatível com seu servidor LDAP específico, consulte sua documentação. Geralmente, o Google LDAP é compatível apenas com um certificado do cliente como a conta de serviço. O OpenLDAP, o Microsoft Active Directory e o Azure AD são compatíveis somente com a autenticação básica.
As instruções a seguir mostram como criar um cliente e acessar detalhes de login do servidor LDAP para alguns provedores conhecidos. Para outros provedores LDAP, consulte a documentação do administrador do servidor.
Azure AD/Active Directory
Siga as instruções da IU para criar uma nova conta de usuário.
Salve o nome distinto (DN) e a senha completos do usuário para uso posterior.
LDAP do Google
Verifique se você fez login na sua conta do Google Workspace ou do Cloud Identity em accounts.google.com.
Adicione a descrição e o nome do cliente escolhidos e clique em Continuar.
Na seção Permissões de acesso, confirme que o cliente tem as permissões apropriadas para ler seu diretório e acessar as informações do usuário.
Faça o download do certificado do cliente e conclua a criação do cliente. O download do certificado também faz o download da chave correspondente.
Execute os seguintes comandos no diretório relevante para codificar o certificado e a chave em base64, substituindo os nomes de arquivo do certificado e da chave baixados:
Salve o certificado criptografado e as strings de chave para mais tarde.
OpenLDAP
Use o comando ldapadd para adicionar uma nova entrada de conta de serviço ao diretório. Verifique se a conta tem permissão para ler o diretório e acessar as informações do usuário.
Salve o nome distinto (DN) e a senha completos do usuário para uso posterior.
A seguir
O administrador do cluster pode configurar o serviço de identidade do GKE para clusters individuais ou para uma frota.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-07-31 UTC."],[],[],null,["# Configure LDAP provider for GKE Identity Service\n================================================\n\nThis document is for **platform administrators** , or whoever manages identity setup in your organization. It explains how to configure your chosen [Lightweight Directory Access Protocol (LDAP)](https://ldap.com/) identity provider for GKE Identity Service.\n\nGKE Identity Service with LDAP can be used with\n[Google Distributed Cloud](/anthos/clusters/docs/on-prem) and\n[Google Distributed Cloud](/anthos/clusters/docs/bare-metal) only.\n\nBefore you begin\n----------------\n\nThroughout this setup, you might need to refer to the documentation for your LDAP server. The following administrator guides explain configuration for some popular LDAP providers, including where to find the information you need to log in to the LDAP server:\n\n- [OpenLDAP](https://www.openldap.org/doc/)\n- [Azure AD](https://azure.microsoft.com/en-us/services/active-directory/)\n- [Microsoft Active Directory](https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/active-directory-overview)\n- [Google LDAP](https://support.google.com/a/topic/9173976?ref_topic=9048334)\n\nGet LDAP login details\n----------------------\n\nGKE Identity Service needs a service account secret to authenticate to the LDAP server and retrieve user details. There are two types of service accounts permitted in LDAP authentication, basic auth (using a username and password to authenticate to the server) or client certificate (using a client private key and client certificate). To find out which type is supported in your specific LDAP server, see its documentation. Generally, Google LDAP only supports a client certificate as the service account. OpenLDAP, Microsoft Active Directory and Azure AD support only basic auth natively.\n\nThe following instructions show you how to create a client and get LDAP server login details for some popular providers. For other LDAP providers, see the server's administrator documentation. \n\n### Azure AD/Active Directory\n\n1. Follow the UI instructions to create a new user account.\n2. Save the full user distinguished name (DN) and password for later.\n\n### Google LDAP\n\n1. Ensure that you are logged in to your Google Workspace or Cloud Identity account in [accounts.google.com](https://accounts.google.com).\n2. Log in to the [Google Admin console](https://admin.google.com) with the account.\n3. Select **Apps** - **LDAP** from the left menu.\n4. Click **Add client**.\n5. Add your chosen client name and description and click **Continue**.\n6. In the **Access permissions** section, ensure that the client has the appropriate permissions to read your directory and access user information.\n7. Download the client certificate and complete client creation. Downloading the certificate also downloads the corresponding key.\n8. Run the following commands in the relevant directory to base64 encode the certificate and key, substituting the file names of your downloaded certificate and key:\n\n cat \u003cvar translate=\"no\"\u003eCERTIFICATE_FILENAME\u003c/var\u003e.crt | base64\n cat \u003cvar translate=\"no\"\u003eKEY_FILENAME\u003c/var\u003e.key | base64\n\n9. Save the encrypted certificate and key strings for later.\n\n### OpenLDAP\n\n1. Use the [`ldapadd`](https://man7.org/linux/man-pages/man1/ldapadd.1.html) command to add a new service account entry into the directory. Make sure that the account has permission to read the directory and access user information.\n2. Save the full user distinguished name (DN) and password for later.\n\nWhat's next\n-----------\n\nYour cluster administrator can set up GKE Identity Service for [individual clusters](/kubernetes-engine/enterprise/identity/setup/ldap) or a [fleet](/kubernetes-engine/enterprise/identity/setup/fleet)."]]
