Configurar provedores LDAP para autenticar em clusters

Este documento é destinado a administradores de plataforma ou a quem gerencia a configuração de identidade na organização. Ele explica como configurar o provedor de identidade do Protocolo leve de acesso a diretórios (LDAP) escolhido para autenticação em clusters do Kubernetes que não estão no Google Cloud.

É possível usar o LDAP para autenticar apenas o Google Distributed Cloud e o Google Distributed Cloud.

Antes de começar

Durante essa configuração, talvez seja necessário consultar a documentação do seu servidor LDAP. Os guias do administrador a seguir explicam a configuração de alguns provedores LDAP conhecidos, incluindo onde encontrar as informações necessárias para fazer login no servidor LDAP:

Receber detalhes de login LDAP

Durante o fluxo de autenticação para usuários, o cluster usa um secret da conta de serviço para se autenticar no servidor LDAP e recuperar os detalhes do usuário. Há dois tipos de contas de serviço permitidas na autenticação LDAP: autenticação básica (com um nome de usuário e senha para autenticação no servidor) ou certificado do cliente (chave privada do cliente e certificado do cliente). Para descobrir qual tipo é compatível com seu servidor LDAP específico, consulte sua documentação. Geralmente, o Google LDAP é compatível apenas com um certificado do cliente como a conta de serviço. O OpenLDAP, o Microsoft Active Directory e o Microsoft Entra ID são compatíveis somente com a autenticação básica.

As instruções a seguir mostram como criar um cliente e acessar detalhes de login do servidor LDAP para alguns provedores conhecidos. Para outros provedores LDAP, consulte a documentação do administrador do servidor.

Microsoft Entra ID/Active Directory

  1. Siga as instruções da IU para criar uma nova conta de usuário.
  2. Salve o nome distinto (DN) e a senha completos do usuário para uso posterior.

LDAP do Google

  1. Verifique se você fez login na sua conta do Google Workspace ou do Cloud Identity em accounts.google.com.
  2. Faça login no Google Admin Console com a conta.
  3. Selecione Apps: LDAP no menu à esquerda.
  4. Clique em Adicionar cliente.
  5. Adicione a descrição e o nome do cliente escolhidos e clique em Continuar.
  6. Na seção Permissões de acesso, confirme que o cliente tem as permissões apropriadas para ler seu diretório e acessar as informações do usuário.
  7. Faça o download do certificado do cliente e conclua a criação do cliente. O download do certificado também faz o download da chave correspondente.

  8. Execute os seguintes comandos no diretório relevante para codificar o certificado e a chave em base64, substituindo os nomes de arquivo do certificado e da chave baixados:

    cat CERTIFICATE_FILENAME.crt | base64
cat KEY_FILENAME.key | base64

  9. Salve o certificado criptografado e as strings de chave para mais tarde.

OpenLDAP

  1. Use o comando ldapadd para adicionar uma nova entrada de conta de serviço ao diretório. Verifique se a conta tem permissão para ler o diretório e acessar as informações do usuário.
  2. Salve o nome distinto (DN) e a senha completos do usuário para uso posterior.

A seguir