Configure fornecedores LDAP para autenticação em clusters

Este documento destina-se a administradores da plataforma ou a quem gere a configuração de identidade na sua organização. Explica como configurar o fornecedor de identidade do Lightweight Directory Access Protocol (LDAP) escolhido para autenticação em clusters do Kubernetes que não estão no Google Cloud.

Pode usar o LDAP para fazer a autenticação apenas no Google Distributed Cloud e no Google Distributed Cloud.

Antes de começar

Ao longo desta configuração, pode ter de consultar a documentação do seu servidor LDAP. Os seguintes guias do administrador explicam a configuração de alguns fornecedores de LDAP populares, incluindo onde encontrar as informações necessárias para iniciar sessão no servidor LDAP:

Obtenha detalhes de início de sessão LDAP

Durante o fluxo de autenticação para utilizadores, o cluster usa um segredo da conta de serviço para fazer a autenticação no servidor LDAP e obter os detalhes do utilizador. Existem dois tipos de contas de serviço permitidas na autenticação LDAP: autenticação básica (através de um nome de utilizador e uma palavra-passe para autenticação no servidor) ou certificado de cliente (através de uma chave privada do cliente e um certificado de cliente). Para saber que tipo é suportado no seu servidor LDAP específico, consulte a respetiva documentação. Geralmente, o LDAP da Google só suporta um certificado de cliente como conta de serviço. O OpenLDAP, o Microsoft Active Directory e o Microsoft Entra ID só suportam a autenticação básica de forma nativa.

As instruções seguintes mostram como criar um cliente e obter detalhes de início de sessão do servidor LDAP para alguns fornecedores populares. Para outros fornecedores de LDAP, consulte a documentação do administrador do servidor.

Microsoft Entra ID/Active Directory

  1. Siga as instruções da IU para criar uma nova conta de utilizador.
  2. Guarde o nome distinto (DN) e a palavra-passe do utilizador completos para mais tarde.

LDAP da Google

  1. Certifique-se de que tem sessão iniciada na sua conta do Google Workspace ou do Cloud ID em accounts.google.com.
  2. Inicie sessão na consola do administrador Google com a conta.
  3. Selecione AppsLDAP no menu do lado esquerdo.
  4. Clique em Adicionar cliente.
  5. Adicione o nome e a descrição do cliente escolhidos e clique em Continuar.
  6. Na secção Autorizações de acesso, certifique-se de que o cliente tem as autorizações adequadas para ler o seu diretório e aceder às informações do utilizador.
  7. Transfira o certificado de cliente e conclua a criação do cliente. A transferência do certificado também transfere a chave correspondente.

  8. Execute os seguintes comandos no diretório relevante para codificar em Base64 o certificado e a chave, substituindo os nomes dos ficheiros do certificado e da chave transferidos:

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. Guarde as strings de chave e certificado encriptadas para mais tarde.

OpenLDAP

  1. Use o comando ldapadd para adicionar uma nova entrada de conta de serviço ao diretório. Certifique-se de que a conta tem autorização para ler o diretório e aceder às informações do utilizador.
  2. Guarde o nome distinto (DN) e a palavra-passe do utilizador completos para mais tarde.

O que se segue?