Acerca del inicio de sesión del sistema operativo,Acerca del inicio de sesión del sistema operativo

Esta página describe el servicio de inicio de sesión del sistema operativo y cómo funciona. Para saber cómo configurar el inicio de sesión en el sistema operativo, consulte Configurar el inicio de sesión en el sistema operativo .

Utilice el inicio de sesión del sistema operativo para administrar el acceso SSH a sus instancias mediante IAM sin tener que crear y administrar claves SSH individuales. OS Login mantiene una identidad de usuario de Linux consistente en todas las instancias de VM y es la forma recomendada de administrar muchos usuarios en múltiples VM o proyectos.

Beneficios del inicio de sesión en el sistema operativo

OS Login simplifica la administración del acceso SSH al vincular su cuenta de usuario de Linux a su identidad de Google. Los administradores pueden gestionar fácilmente el acceso a las instancias, ya sea a nivel de instancia o de proyecto, configurando permisos de IAM.

El inicio de sesión en el sistema operativo proporciona los siguientes beneficios:

  • Gestión automática del ciclo de vida de la cuenta de Linux : puede vincular directamente una cuenta de usuario de Linux a la identidad de Google de un usuario para que se utilice la misma información de la cuenta de Linux en todas las instancias del mismo proyecto u organización.

  • Autorización detallada mediante Google IAM : los administradores a nivel de proyecto e instancia pueden utilizar IAM para otorgar acceso SSH a la identidad de Google de un usuario sin otorgar un conjunto más amplio de privilegios. Por ejemplo, puede otorgar permisos a un usuario para iniciar sesión en el sistema, pero no la capacidad de ejecutar comandos como sudo . Google verifica estos permisos para determinar si un usuario puede iniciar sesión en una instancia de VM.

  • Actualizaciones automáticas de permisos : con el inicio de sesión en el sistema operativo, los permisos se actualizan automáticamente cuando un administrador cambia los permisos de IAM. Por ejemplo, si elimina los permisos de IAM de una identidad de Google, se revocará el acceso a las instancias de VM. Google verifica los permisos en cada intento de inicio de sesión para evitar accesos no deseados.

  • Capacidad para importar cuentas de Linux existentes : los administradores pueden optar por sincronizar la información de la cuenta de Linux desde Active Directory (AD) y el Protocolo ligero de acceso a directorios (LDAP) que están configurados localmente. Por ejemplo, puede asegurarse de que los usuarios tengan el mismo ID de usuario (UID) tanto en su entorno local como en la nube.

  • Integración con la verificación en dos pasos de la cuenta de Google : opcionalmente, puede solicitar que los usuarios de inicio de sesión del sistema operativo validen su identidad utilizando uno de los siguientes métodos de verificación en dos pasos (2FA) o tipos de desafío al conectarse a máquinas virtuales:

  • Integración con el registro de auditoría : OS Login proporciona un registro de auditoría que puede utilizar para monitorear las conexiones a las máquinas virtuales para los usuarios de OS Login.

Cómo funciona el inicio de sesión en el sistema operativo

Cuando el inicio de sesión del sistema operativo está habilitado, Compute Engine realiza configuraciones en las máquinas virtuales y las cuentas de Google de los usuarios de inicio de sesión del sistema operativo.

Configuración de máquina virtual

Las imágenes públicas proporcionadas por Google incluyen utilidades y componentes para administrar el acceso a las máquinas virtuales. Cuando habilita el inicio de sesión en el sistema operativo, los siguientes componentes y configuraciones se configuran en la máquina virtual:

  • Elimina los archivos authorized_keys de la VM.

  • Configura un servidor OpenSSH con la opción AuthorizedKeysCommand . Este comando recupera las claves SSH asociadas con la cuenta de usuario de Linux para autenticar el intento de inicio de sesión.

  • Configura la funcionalidad NSS (Name Service Switch) para proporcionar la información del usuario de inicio de sesión del sistema operativo al sistema operativo.

  • Agrega un conjunto de configuraciones de Módulos de autenticación conectables (PAM) para ayudar a autorizar el inicio de sesión del usuario, como configurar el directorio de inicio de la cuenta de usuario de Linux o manejar desafíos 2FA si 2FA está habilitado.

Para obtener más información sobre los componentes de inicio de sesión del sistema operativo, revise la página GitHub de inicio de sesión del sistema operativo .

Configuración de cuenta de usuario

OS Login configura su cuenta de Google con información POSIX, incluido un nombre de usuario, cuando realiza cualquiera de las siguientes acciones:

  • Conéctese a una máquina virtual habilitada para iniciar sesión en el sistema operativo mediante la consola de Google Cloud
  • Conéctese a una máquina virtual habilitada para iniciar sesión en el sistema operativo mediante la CLI de gcloud
  • Importa una clave SSH pública mediante la CLI de gcloud
  • Importe una clave SSH pública utilizando la API de inicio de sesión del sistema operativo

OS Login configura cuentas POSIX con los siguientes valores:

  • Nombre de usuario: un nombre de usuario con el formato USERNAME _ DOMAIN _ SUFFIX . Si el usuario pertenece a una organización de Google Workspace diferente a la que aloja sus máquinas virtuales habilitadas para iniciar sesión en el sistema operativo, su nombre de usuario tiene el prefijo ext_ . Si el usuario es una cuenta de servicio, su nombre de usuario tiene el prefijo sa_ .

    Los administradores de Cloud Identity pueden modificar los nombres de usuario y los superadministradores de Google Workspace pueden cambiar el formato del nombre de usuario para eliminar el sufijo del dominio .

  • UID: una identificación de usuario única, generada aleatoriamente y compatible con POSIX .

  • GID: un ID de grupo compatible con POSIX que es el mismo que el UID.

  • Directorio de inicio: la ruta al directorio de inicio del usuario.

Los administradores de la organización pueden configurar y actualizar la información de la cuenta POSIX de un usuario. Para obtener más información, consulte Modificar cuentas de usuario mediante Directory API .

¿Qué sigue?

,

Esta página describe el servicio de inicio de sesión del sistema operativo y cómo funciona. Para saber cómo configurar el inicio de sesión en el sistema operativo, consulte Configurar el inicio de sesión en el sistema operativo .

Utilice el inicio de sesión del sistema operativo para administrar el acceso SSH a sus instancias mediante IAM sin tener que crear y administrar claves SSH individuales. OS Login mantiene una identidad de usuario de Linux consistente en todas las instancias de VM y es la forma recomendada de administrar muchos usuarios en múltiples VM o proyectos.

Beneficios del inicio de sesión en el sistema operativo

OS Login simplifica la administración del acceso SSH al vincular su cuenta de usuario de Linux a su identidad de Google. Los administradores pueden gestionar fácilmente el acceso a las instancias, ya sea a nivel de instancia o de proyecto, configurando permisos de IAM.

El inicio de sesión en el sistema operativo proporciona los siguientes beneficios:

  • Gestión automática del ciclo de vida de la cuenta de Linux : puede vincular directamente una cuenta de usuario de Linux a la identidad de Google de un usuario para que se utilice la misma información de la cuenta de Linux en todas las instancias del mismo proyecto u organización.

  • Autorización detallada mediante Google IAM : los administradores a nivel de proyecto e instancia pueden utilizar IAM para otorgar acceso SSH a la identidad de Google de un usuario sin otorgar un conjunto más amplio de privilegios. Por ejemplo, puede otorgar permisos a un usuario para iniciar sesión en el sistema, pero no la capacidad de ejecutar comandos como sudo . Google verifica estos permisos para determinar si un usuario puede iniciar sesión en una instancia de VM.

  • Actualizaciones automáticas de permisos : con el inicio de sesión en el sistema operativo, los permisos se actualizan automáticamente cuando un administrador cambia los permisos de IAM. Por ejemplo, si elimina los permisos de IAM de una identidad de Google, se revocará el acceso a las instancias de VM. Google verifica los permisos en cada intento de inicio de sesión para evitar accesos no deseados.

  • Capacidad para importar cuentas de Linux existentes : los administradores pueden optar por sincronizar la información de la cuenta de Linux desde Active Directory (AD) y el Protocolo ligero de acceso a directorios (LDAP) que están configurados localmente. Por ejemplo, puede asegurarse de que los usuarios tengan el mismo ID de usuario (UID) tanto en su entorno local como en la nube.

  • Integración con la verificación en dos pasos de la cuenta de Google : opcionalmente, puede solicitar que los usuarios de inicio de sesión del sistema operativo validen su identidad utilizando uno de los siguientes métodos de verificación en dos pasos (2FA) o tipos de desafío al conectarse a máquinas virtuales:

  • Integración con el registro de auditoría : OS Login proporciona un registro de auditoría que puede utilizar para monitorear las conexiones a las máquinas virtuales para los usuarios de OS Login.

Cómo funciona el inicio de sesión en el sistema operativo

Cuando el inicio de sesión del sistema operativo está habilitado, Compute Engine realiza configuraciones en las máquinas virtuales y las cuentas de Google de los usuarios de inicio de sesión del sistema operativo.

Configuración de máquina virtual

Las imágenes públicas proporcionadas por Google incluyen utilidades y componentes para administrar el acceso a las máquinas virtuales. Cuando habilita el inicio de sesión en el sistema operativo, los siguientes componentes y configuraciones se configuran en la máquina virtual:

  • Elimina los archivos authorized_keys de la VM.

  • Configura un servidor OpenSSH con la opción AuthorizedKeysCommand . Este comando recupera las claves SSH asociadas con la cuenta de usuario de Linux para autenticar el intento de inicio de sesión.

  • Configura la funcionalidad NSS (Name Service Switch) para proporcionar la información del usuario de inicio de sesión del sistema operativo al sistema operativo.

  • Agrega un conjunto de configuraciones de Módulos de autenticación conectables (PAM) para ayudar a autorizar el inicio de sesión del usuario, como configurar el directorio de inicio de la cuenta de usuario de Linux o manejar desafíos 2FA si 2FA está habilitado.

Para obtener más información sobre los componentes de inicio de sesión del sistema operativo, revise la página GitHub de inicio de sesión del sistema operativo .

Configuración de cuenta de usuario

OS Login configura su cuenta de Google con información POSIX, incluido un nombre de usuario, cuando realiza cualquiera de las siguientes acciones:

  • Conéctese a una máquina virtual habilitada para iniciar sesión en el sistema operativo mediante la consola de Google Cloud
  • Conéctese a una máquina virtual habilitada para iniciar sesión en el sistema operativo mediante la CLI de gcloud
  • Importa una clave SSH pública mediante la CLI de gcloud
  • Importe una clave SSH pública utilizando la API de inicio de sesión del sistema operativo

OS Login configura cuentas POSIX con los siguientes valores:

  • Nombre de usuario: un nombre de usuario con el formato USERNAME _ DOMAIN _ SUFFIX . Si el usuario pertenece a una organización de Google Workspace diferente a la que aloja sus máquinas virtuales habilitadas para iniciar sesión en el sistema operativo, su nombre de usuario tiene el prefijo ext_ . Si el usuario es una cuenta de servicio, su nombre de usuario tiene el prefijo sa_ .

    Los administradores de Cloud Identity pueden modificar los nombres de usuario y los superadministradores de Google Workspace pueden cambiar el formato del nombre de usuario para eliminar el sufijo del dominio .

  • UID: una identificación de usuario única, generada aleatoriamente y compatible con POSIX .

  • GID: un ID de grupo compatible con POSIX que es el mismo que el UID.

  • Directorio de inicio: la ruta al directorio de inicio del usuario.

Los administradores de la organización pueden configurar y actualizar la información de la cuenta POSIX de un usuario. Para obtener más información, consulte Modificar cuentas de usuario mediante Directory API .

¿Qué sigue?