הגדרת ספקי LDAP לאימות באשכולות

המסמך הזה מיועד לאדמינים של פלטפורמות או לכל מי שמנהל את הגדרת הזהויות בארגון שלכם. במאמר מוסבר איך להגדיר את ספק הזהויות Lightweight Directory Access Protocol (LDAP) שבחרתם לאימות באשכולות Kubernetes שלא נמצאים ב- Google Cloud.

אפשר להשתמש ב-LDAP כדי לבצע אימות רק ב-Google Distributed Cloud וב-Google Distributed Cloud.

לפני שמתחילים

במהלך ההגדרה הזו, יכול להיות שתצטרכו לעיין בתיעוד של שרת ה-LDAP שלכם. במדריכים הבאים לאדמינים מוסבר איך להגדיר כמה ספקי LDAP פופולריים, כולל איפה אפשר למצוא את המידע שצריך כדי להתחבר לשרת ה-LDAP:

קבלת פרטי התחברות ל-LDAP

במהלך תהליך האימות של משתמשים, האשכול משתמש בסוד של חשבון שירות כדי לבצע אימות בשרת LDAP ולאחזר את פרטי המשתמש. יש שני סוגים של חשבונות שירות שמותרים באימות LDAP: אימות בסיסי (באמצעות שם משתמש וסיסמה לאימות בשרת) או אישור לקוח (באמצעות מפתח פרטי של לקוח ואישור לקוח). כדי לדעת איזה סוג נתמך בשרת LDAP הספציפי שלכם, אפשר לעיין בתיעוד שלו. באופן כללי, Google LDAP תומך רק באישור לקוח כחשבון השירות. ‫OpenLDAP, ‏ Microsoft Active Directory ו-Microsoft Entra ID תומכים רק באימות בסיסי באופן מקורי.

בהוראות הבאות מוסבר איך ליצור לקוח ולקבל פרטי כניסה לשרת LDAP אצל כמה ספקים פופולריים. לגבי ספקי LDAP אחרים, אפשר לעיין במסמכי התיעוד של האדמין של השרת.

Microsoft Entra ID/Active Directory

  1. פועלים לפי ההוראות בממשק המשתמש כדי ליצור חשבון משתמש חדש.
  2. שומרים את השם המובחן (DN) המלא של המשתמש ואת הסיסמה לשימוש בהמשך.

Google LDAP

  1. ודאו שאתם מחוברים לחשבון Google Workspace או Cloud Identity בכתובת accounts.google.com.
  2. נכנסים עם החשבון למסוף Google Admin.
  3. בתפריט שמימין, בוחרים באפשרות אפליקציותLDAP.
  4. לוחצים על הוספת לקוח.
  5. מוסיפים את השם והתיאור של הלקוח שבחרתם ולוחצים על המשך.
  6. בקטע הרשאות גישה, מוודאים שללקוח יש את ההרשאות המתאימות לקריאת הארגון שלי ולגישה לפרטי המשתמשים.
  7. מורידים את אישור הלקוח ומשלימים את יצירת הלקוח. כשמורידים את האישור, מורידים גם את המפתח התואם.

  8. מריצים את הפקודות הבאות בספרייה הרלוונטית כדי לקודד את האישור ואת המפתח ב-Base64, ומחליפים את שמות הקבצים בשמות של האישור והמפתח שהורדתם:

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. שומרים את המחרוזות של המפתח והאישור המוצפנים לשימוש מאוחר יותר.

OpenLDAP

  1. משתמשים בפקודה ldapadd כדי להוסיף רשומה חדשה של חשבון שירות לספרייה. מוודאים שלחשבון יש הרשאה לקרוא את הספרייה ולגשת לפרטי המשתמשים.
  2. שומרים את השם המובחן (DN) המלא של המשתמש ואת הסיסמה לשימוש בהמשך.

המאמרים הבאים