LDAP-Anbieter für die Authentifizierung bei Clustern konfigurieren

Dieses Dokument richtet sich an Plattformadministratoren bzw. an die Person, die die Identitätseinrichtung in Ihrer Organisation verwaltet. In diesem Dokument wird erläutert, wie Sie den ausgewählten LDAP-Identitätsanbieter (Lightweight Directory Access Protocol) für die Authentifizierung bei Kubernetes-Clustern konfigurieren, die nicht auf Google Cloudausgeführt werden.

Sie können LDAP nur für die Authentifizierung bei Google Distributed Cloud und Google Distributed Cloud verwenden.

Hinweise

Während der Einrichtung müssen Sie möglicherweise die Dokumentation des LDAP-Servers lesen. Im Folgenden werden die Konfigurationen für einige beliebte LDAP-Anbieter erläutert. Außerdem erfahren Sie, wo Sie die Informationen finden, die Sie für die Anmeldung beim LDAP-Server benötigen:

LDAP-Anmeldedetails abrufen

Während des Authentifizierungsablaufs für Nutzer verwendet der Cluster ein Dienstkonto-Secret, um sich beim LDAP-Server zu authentifizieren und Nutzerdetails abzurufen. Für die LDAP-Authentifizierung sind zwei Arten von Dienstkonten zulässig: die Basisauthentifizierung (mit einem Nutzernamen und einem Passwort zur Authentifizierung beim Server) oder ein Clientzertifikat (mit einem privaten Clientschlüssel und einem Clientzertifikat). Informationen dazu, welcher Typ in Ihrem spezifischen LDAP-Server unterstützt wird, finden Sie in der Dokumentation. Im Allgemeinen unterstützt Google LDAP nur ein Clientzertifikat als Dienstkonto. OpenLDAP, Microsoft Active Directory und Microsoft Entra ID unterstützen nativ nur die Basisauthentifizierung.

Die folgende Anleitung zeigt, wie Sie einen Client erstellen und die Anmeldedaten für den LDAP-Server für einige beliebte Anbieter abrufen. Informationen zu anderen LDAP-Anbietern finden Sie in der Administratordokumentation zum Server.

Microsoft Entra ID/Active Directory

  1. Folgen Sie der Anleitung in der Benutzeroberfläche, um ein neues Nutzerkonto zu erstellen.
  2. Speichern Sie den vollständigen DN (Distinguished Name) des Nutzers und das Passwort für später.

Google LDAP

  1. Sie müssen in Ihrem Google Workspace- oder Cloud Identity-Konto unter accounts.google.com angemeldet sein.
  2. Melden Sie sich mit dem Konto in der Admin-Konsole an.
  3. Wählen Sie im linken Menü AppsLDAP aus.
  4. Klicken Sie auf Client hinzufügen.
  5. Fügen Sie den ausgewählten Clientnamen und die Beschreibung hinzu und klicken Sie auf Weiter.
  6. Achten Sie im Abschnitt Zugriffsberechtigungen darauf, dass der Client die entsprechenden Berechtigungen zum Lesen Ihres Verzeichnisses und zum Zugriff auf Nutzerinformationen hat.
  7. Laden Sie das Clientzertifikat herunter und schließen Sie die Erstellung des Clients ab. Wenn Sie das Zertifikat herunterladen, wird auch der entsprechende Schlüssel heruntergeladen.

  8. Führen Sie die folgenden Befehle im relevanten Verzeichnis aus, um das Zertifikat und den Schlüssel mit base64 zu codieren. Ersetzen Sie dabei die Dateinamen des heruntergeladenen Zertifikats und des Schlüssels.

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. Speichern Sie das verschlüsselte Zertifikat und die Schlüsselstrings für später.

OpenLDAP

  1. Verwenden Sie den Befehl ldapadd, um dem Verzeichnis einen neuen Dienstkontoeintrag hinzuzufügen. Sorgen Sie dafür, dass das Konto berechtigt ist, das Verzeichnis zu lesen und auf Nutzerinformationen zuzugreifen.
  2. Speichern Sie den vollständigen DN (Distinguished Name) des Nutzers und das Passwort für später.

Nächste Schritte