Mengonfigurasi penyedia LDAP untuk Identity Service GKE

Dokumen ini ditujukan untuk administrator platform, atau siapa pun yang mengelola penyiapan identitas di organisasi Anda. Panduan ini menjelaskan cara mengonfigurasi penyedia identitas Lightweight Directory Access Protocol (LDAP) yang Anda pilih untuk Identity Service GKE.

Layanan Identitas GKE dengan LDAP hanya dapat digunakan dengan Google Distributed Cloud dan Google Distributed Cloud.

Sebelum memulai

Selama penyiapan ini, Anda mungkin perlu melihat dokumentasi untuk server LDAP Anda. Panduan administrator berikut menjelaskan konfigurasi untuk beberapa penyedia LDAP populer, termasuk tempat menemukan informasi yang diperlukan untuk login ke server LDAP:

Mendapatkan detail login LDAP

Layanan Identitas GKE memerlukan secret akun layanan untuk melakukan autentikasi ke server LDAP dan mengambil detail pengguna. Ada dua jenis akun layanan yang diizinkan dalam autentikasi LDAP, autentikasi dasar (menggunakan nama pengguna dan sandi untuk melakukan autentikasi ke server) atau sertifikat klien (menggunakan kunci pribadi klien dan sertifikat klien). Untuk mengetahui jenis yang didukung di server LDAP tertentu, lihat dokumentasinya. Umumnya, Google LDAP hanya mendukung sertifikat klien sebagai akun layanan. OpenLDAP, Microsoft Active Directory, dan Azure AD hanya mendukung autentikasi dasar secara native.

Petunjuk berikut menunjukkan cara membuat klien dan mendapatkan detail login server LDAP untuk beberapa penyedia populer. Untuk penyedia LDAP lainnya, lihat dokumentasi administrator server.

Azure AD/Active Directory

  1. Ikuti petunjuk UI untuk membuat akun pengguna baru.
  2. Simpan nama yang dibedakan (DN) dan sandi pengguna lengkap untuk digunakan nanti.

Google LDAP

  1. Pastikan Anda login ke akun Google Workspace atau Cloud Identity di accounts.google.com.
  2. Login ke konsol Google Admin dengan akun tersebut.
  3. Pilih Aplikasi - LDAP dari menu kiri.
  4. Klik Tambahkan klien.
  5. Tambahkan nama dan deskripsi klien yang dipilih, lalu klik Lanjutkan.
  6. Di bagian Izin akses, pastikan klien memiliki izin yang sesuai untuk membaca direktori Anda dan mengakses informasi pengguna.
  7. Download sertifikat klien dan selesaikan pembuatan klien. Mendownload sertifikat juga akan mendownload kunci yang sesuai.

  8. Jalankan perintah berikut di direktori yang relevan untuk mengenkode sertifikat dan kunci ke base64, dengan mengganti nama file sertifikat dan kunci yang Anda download:

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. Simpan string kunci dan sertifikat terenkripsi untuk digunakan nanti.

OpenLDAP

  1. Gunakan perintah ldapadd untuk menambahkan entri akun layanan baru ke direktori. Pastikan akun memiliki izin untuk membaca direktori dan mengakses informasi pengguna.
  2. Simpan nama yang dibedakan (DN) dan sandi pengguna lengkap untuk digunakan nanti.

Langkah selanjutnya

Administrator cluster Anda dapat menyiapkan Identity Service GKE untuk setiap cluster atau fleet.