設定 GKE Identity Service 的 LDAP 供應商

本文適用於平台管理員,或貴機構中負責管理身分設定的人員。本文說明如何為 GKE Identity Service 設定所選的輕量型目錄存取通訊協定 (LDAP) 身份提供者。

GKE Identity Service with LDAP 僅適用於 Google Distributed CloudGoogle Distributed Cloud

事前準備

在整個設定過程中,您可能需要參閱 LDAP 伺服器的說明文件。下列管理員指南說明如何設定部分熱門 LDAP 供應商,包括如何尋找登入 LDAP 伺服器所需的資訊:

取得 LDAP 登入詳細資料

GKE Identity Service 需要服務帳戶密鑰,才能向 LDAP 伺服器驗證身分並擷取使用者詳細資料。LDAP 驗證允許兩種服務帳戶:基本驗證 (使用使用者名稱和密碼向伺服器驗證) 或用戶端憑證 (使用用戶端私密金鑰和用戶端憑證)。如要瞭解特定 LDAP 伺服器支援的類型,請參閱相關說明文件。一般來說,Google LDAP 僅支援將用戶端憑證做為服務帳戶。OpenLDAP、Microsoft Active Directory 和 Azure AD 本身僅支援基本驗證。

下列操作說明會針對幾個熱門供應商,說明如何建立用戶端及取得 LDAP 伺服器登入詳細資料。如為其他 LDAP 供應商,請參閱伺服器的管理員說明文件。

Azure AD/Active Directory

  1. 按照使用者介面上的指示建立新的使用者帳戶。
  2. 儲存完整的使用者辨別名稱 (DN) 和密碼,以供日後使用。

Google LDAP

  1. 請確認您已在 accounts.google.com 登入 Google Workspace 或 Cloud Identity 帳戶。
  2. 使用該帳戶登入 Google 管理控制台
  3. 依序選取左選單中的「應用程式」和「LDAP」
  4. 按一下「新增用戶端」
  5. 新增所選用戶端名稱和說明,然後按一下「繼續」
  6. 在「存取權限」部分,確認用戶端擁有適當權限,可讀取目錄及存取使用者資訊。
  7. 下載用戶端憑證,並完成用戶端建立作業。下載憑證時,系統也會下載對應的金鑰。

  8. 在相關目錄中執行下列指令,以 base64 編碼憑證和金鑰,並替換下載的憑證和金鑰檔案名稱:

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. 儲存加密的憑證和金鑰字串,以供日後使用。

OpenLDAP

  1. 使用 ldapadd 指令,在目錄中新增服務帳戶項目。確認帳戶有權讀取目錄及存取使用者資訊。
  2. 儲存完整的使用者辨別名稱 (DN) 和密碼,以供日後使用。

後續步驟

叢集管理員可以為個別叢集機群設定 GKE Identity Service。