OS Login

---

Auf dieser Seite werden der OS Login-Dienst und seine Funktionsweise beschrieben. Informationen zum Einrichten von OS Login finden Sie unter OS Login einrichten.

Mit OS Login können Sie den SSH-Zugriff auf Ihre Instanzen mithilfe von IAM verwalten, ohne einzelne SSH-Schlüssel erstellen und verwalten zu müssen. OS Login verwendet VM-instanzübergreifend eine konsistente Linux-Nutzeridentität und wird empfohlen, wenn es darum geht, viele Nutzer über mehrere VMs oder Projekte hinweg zu verwalten.

Vorteile von OS Login

OS Login vereinfacht die Verwaltung des SSH-Zugriffs, weil Ihr Linux-Nutzerkonto mit Ihrer Google-Identität verknüpft wird. Administratoren können den Zugriff auf Instanzen auf Instanz- oder Projektebene einfach dadurch verwalten, dass sie IAM-Berechtigungen festlegen.

OS Login bietet folgende Vorteile:

• Automatisches Lebenszyklusmanagement für Linux-Konten: Sie können ein Linux-Nutzerkonto direkt an die Google-Identität eines Nutzers binden. Dadurch werden für alle Instanzen in demselben Projekt oder in derselben Organisation die gleichen Linux-Kontodaten verwendet.

• Detailgenaue Autorisierung mit Google IAM: Administratoren auf Projekt- und Instanzebene können der Google-Identität eines Nutzers mit IAM SSH-Zugriff gewähren, ohne dass umfassendere Berechtigungen erteilt werden. Beispielsweise können Sie einem Nutzer Berechtigungen zur Anmeldung im System erteilen, ohne ihm dabei die Möglichkeit zu bieten, Befehle wie sudo auszuführen. Google überprüft diese Berechtigungen, um festzustellen, ob sich ein Nutzer bei einer VM-Instanz anmelden kann.

• Automatische Aktualisierungen von Berechtigungen: Bei OS Login werden Berechtigungen automatisch aktualisiert, wenn ein Administrator die IAM-Berechtigungen ändert. Wenn Sie beispielsweise einer Google-Identität IAM-Berechtigungen entziehen, wird der Zugriff auf VM-Instanzen gesperrt. Google prüft bei jedem Anmeldeversuch die Berechtigungen, um unerwünschten Zugriff zu verhindern.

• Importmöglichkeit für vorhandene Linux-Konten: Administratoren können optional Linux-Kontodaten aus Active Directory (AD) und LDAP (Lightweight Directory Access Protocol), die lokal eingerichtet sind, synchronisieren. So können Sie beispielsweise dafür sorgen, dass Nutzer sowohl in Ihrer Cloud als auch in lokalen Umgebungen dieselbe Nutzer-ID (UID) haben.

• Integration mit Bestätigung in zwei Schritten des Google-Kontos: Sie können optional festlegen, dass OS Login-Nutzer ihre Identität mithilfe einer der folgenden zweistufigen Bestätigungsmethoden (2FA) oder Identitätsbestätigungen validieren, wenn sie eine Verbindung zu VMs herstellen:

  • Google Authenticator
  • Überprüfung per SMS oder Telefonanruf
  • Smartphone-Aufforderungen
  • Einmalpasswort (OTP) mit Sicherheitsschlüssel

• Unterstützung der zertifikatbasierten Authentifizierung (Vorabversion): Sie können die SSH-Zertifikatauthentifizierung verwenden, um eine Verbindung zu VMs herzustellen, die OS Login verwenden. Weitere Informationen finden Sie unter SSH-Zertifikate mit OS Login erzwingen.

• Integration mit Audit-Logging: OS Login bietet Audit-Logging, mit dem Sie Verbindungen zu VMs für OS Login-Nutzer überwachen können.

So funktioniert OS Login

Wenn OS Login aktiviert ist, führt Compute Engine Konfigurationen auf VMs und den Google-Konten von OS Login-Nutzern aus.

VM-Konfiguration

Wenn Sie OS Login aktivieren, löscht Compute Engine die authorized_keys-Dateien der VM und konfiguriert einen OpenSSH-Server. Dieser Server ruft die SSH-Schlüssel ab, die dem Linux-Nutzerkonto zugeordnet sind, und authentifiziert damit den Anmeldeversuch.

Sie können eine authorized_keys-Datei konfigurieren, um Zugriff für ein lokales Nutzerkonto bereitzustellen, auch wenn OS Login aktiviert ist. Öffentliche SSH-Schlüssel, die in der Datei authorized_keys konfiguriert sind, werden verwendet, um Nutzeranmeldungsversuche vom lokalen Nutzer zu authentifizieren. Lokale Nutzerkonten müssen einen anderen Nutzernamen und eine andere UID haben als die, die von OS Login-Nutzern verwendet werden.

Weitere Informationen zu den OS Login-Komponenten finden Sie auf der GitHub-Seite für OS Login.

Nutzerkontokonfiguration

OS Login konfiguriert Ihr Google-Konto mit POSIX-Informationen, einschließlich eines Nutzernamens, wenn eine der folgenden Aktionen ausgeführt wird:

• Verbindung zu einer OS Login-VM über die Google Cloud Console herstellen
• Verbindung zu einer OS Login-VM über die gcloud CLI herstellen
• Öffentlichen SSH-Schlüssel mithilfe der gcloud CL importieren
• Öffentlichen SSH-Schlüssel mit der OS Login API importieren

OS Login konfiguriert POSIX-Konten mit folgenden Werten:

• Nutzername: Ein Nutzername im Format USERNAME_DOMAIN_SUFFIX. Wenn der Nutzer aus einer anderen Google Workspace-Organisation stammt als der, die seine OS Login-fähigen VMs hostet, wird seinem Nutzernamen das Präfix ext_ vorangestellt. Wenn der Nutzer ein Dienstkonto ist, wird seinem Nutzernamen das Präfix sa_ vorangestellt.

  Cloud Identity-Administratoren können Nutzernamen ändern und Google Workspace-Super Admins können das Format der Nutzernamen ändern, um das Domainsuffix zu entfernen.

• UID: eine eindeutige, zufällig generierte POSIX-compliant Nutzer-ID

• GID: Eine POSIX-konforme Gruppen-ID, die der UID entspricht.

• Basisverzeichnis: Der Pfad zum Basisverzeichnis des Nutzers.

Organisationsadministratoren können die POSIX-Kontoinformationen eines Nutzers konfigurieren und aktualisieren. Weitere Informationen finden Sie unter Nutzerkonten mithilfe der Directory API bearbeiten.

Nächste Schritte

• Schritt-für-Schritt-Anleitungen erhalten Sie in einem der folgenden Abschnitte:
  • OS Login einrichten.
  • OS Login mit Bestätigung in zwei Schritten einrichten
• OS Login in einer Organisation verwalten
• Fehlerbehebung bei OS Login