このドキュメントは、組織のプラットフォーム管理者または ID 設定を管理する担当者を対象としています。このドキュメントでは、 Google Cloud上にない Kubernetes クラスタへの認証用に、選択した Lightweight Directory Access Protocol(LDAP) ID プロバイダを構成する方法について説明します。
LDAP を使用して認証できるのは、Google Distributed Cloud と Google Distributed Cloud のみです。
始める前に
この設定を実施している途中で、LDAP サーバーのドキュメントの参照が必要になることがあります。管理者向けの次のガイドには、広く利用されている一部の LDAP プロバイダの構成が説明されています。たとえば、LDAP サーバーへのログインに必要な情報を得る方法などが記載されています。
LDAP ログインの詳細を取得する
ユーザーの認証フローでは、クラスタはサービス アカウントの Secret を使用して、LDAP サーバーへの認証を行い、ユーザーの詳細情報を取得します。LDAP 認証で許可されるサービス アカウントには、基本認証(サーバーへの認証にユーザー名とパスワードを使用)とクライアント証明書(クライアントの秘密鍵とクライアント証明書を使用)の 2 種類があります。特定の LDAP サーバーでサポートされている種類を確認するには、LDAP サーバーのドキュメントをご覧ください。通常、Google LDAP では、サービス アカウントとしてクライアント証明書のみがサポートされます。OpenLDAP、Microsoft Active Directory、Microsoft Entra ID では、基本認証のみがネイティブにサポートされます。
以下の手順は、クライアントを作成し、一般的なプロバイダの LDAP サーバーのログインの詳細を取得する方法について説明します。その他の LDAP プロバイダについては、サーバーの管理者向けドキュメントをご覧ください。
Microsoft Entra ID / Active Directory
- UI の手順に沿って新しいユーザー アカウントを作成します。
- 後で使用するため、完全なユーザー識別名(DN)とパスワードを保存します。
Google LDAP
- accounts.google.com に Google Workspace アカウントまたは Cloud Identity アカウントにログインしていることを確認します。
- そのアカウントで Google 管理コンソールにログインします。
- 左側のメニューから [アプリ]、[LDAP] の順に選択します。
- [クライアントを追加] をクリックします。
- 任意のクライアントの名前と説明を追加し、[続行] をクリックします。
- [アクセス権限] セクションで、ディレクトリを読み取り、ユーザー情報にアクセスするための権限がクライアントにあることを確認します。
- クライアント証明書をダウンロードして、クライアントの作成を完了します。証明書をダウンロードすると、対応する鍵もダウンロードされます。
ダウンロードした証明書と鍵のファイル名を使用して、適切なディレクトリで次のコマンドを実行し、証明書と鍵を base64 エンコードします。
cat CERTIFICATE_FILENAME.crt | base64 cat KEY_FILENAME.key | base64後で使用するため、暗号化された証明書と鍵の文字列を保存します。
OpenLDAP
ldapaddコマンドを使用して、新しいサービス アカウントのエントリをディレクトリに追加します。ディレクトリを読み取り、ユーザー情報にアクセスするための権限がアカウントに付与されていることを確認します。- 後で使用するため、完全なユーザー識別名(DN)とパスワードを保存します。