Mengonfigurasi penyedia LDAP untuk melakukan autentikasi ke cluster

Dokumen ini ditujukan untuk administrator platform, atau siapa pun yang mengelola penyiapan identitas di organisasi Anda. Dokumen ini menjelaskan cara mengonfigurasi penyedia identitas Lightweight Directory Access Protocol (LDAP) yang Anda pilih untuk autentikasi ke cluster Kubernetes yang tidak ada di Google Cloud.

Anda dapat menggunakan LDAP untuk melakukan autentikasi ke Google Distributed Cloud dan Google Distributed Cloud saja.

Sebelum memulai

Selama penyiapan ini, Anda mungkin perlu melihat dokumentasi untuk server LDAP Anda. Panduan administrator berikut menjelaskan konfigurasi untuk beberapa penyedia LDAP populer, termasuk tempat menemukan informasi yang Anda butuhkan untuk login ke server LDAP:

Mendapatkan detail login LDAP

Selama alur autentikasi untuk pengguna, cluster menggunakan secret akun layanan untuk mengautentikasi ke server LDAP dan mengambil detail pengguna. Ada dua jenis akun layanan yang diizinkan dalam autentikasi LDAP, autentikasi dasar (menggunakan nama pengguna dan sandi untuk melakukan autentikasi ke server) atau sertifikat klien (menggunakan kunci pribadi klien dan sertifikat klien). Untuk mengetahui jenis yang didukung di server LDAP tertentu, lihat dokumentasinya. Secara umum, Google LDAP hanya mendukung sertifikat klien sebagai akun layanan. OpenLDAP, Microsoft Active Directory, dan Microsoft Entra ID hanya mendukung autentikasi dasar secara native.

Petunjuk berikut menunjukkan cara membuat klien dan mendapatkan detail login server LDAP untuk beberapa penyedia populer. Untuk penyedia LDAP lainnya, lihat dokumentasi administrator server.

Microsoft Entra ID/Active Directory

  1. Ikuti petunjuk UI untuk membuat akun pengguna baru.
  2. Simpan nama yang dibedakan (DN) pengguna lengkap dan sandi untuk nanti.

Google LDAP

  1. Pastikan Anda login ke akun Google Workspace atau Cloud Identity Anda di accounts.google.com.
  2. Login ke konsol Google Admin dengan akun tersebut.
  3. Pilih Aplikasi - LDAP dari menu kiri.
  4. Klik Add client.
  5. Tambahkan nama dan deskripsi klien yang Anda pilih, lalu klik Lanjutkan.
  6. Di bagian Izin akses, pastikan klien memiliki izin yang sesuai untuk membaca direktori Anda dan mengakses informasi pengguna.
  7. Download sertifikat klien dan selesaikan pembuatan klien. Mendownload sertifikat juga akan mendownload kunci yang sesuai.

  8. Jalankan perintah berikut di direktori yang relevan untuk mengenkode sertifikat dan kunci ke base64, dengan mengganti nama file sertifikat dan kunci yang Anda download:

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. Simpan string sertifikat dan kunci terenkripsi untuk digunakan nanti.

OpenLDAP

  1. Gunakan perintah ldapadd untuk menambahkan entri akun layanan baru ke direktori. Pastikan akun memiliki izin untuk membaca direktori dan mengakses informasi pengguna.
  2. Simpan nama yang dibedakan (DN) pengguna lengkap dan sandi untuk nanti.

Langkah berikutnya