Informazioni su OS Login

---

Questa pagina descrive il servizio di OS Login e il suo funzionamento. Per scoprire come configurare OS Login, consulta Configurare OS Login.

Utilizza l'accesso al sistema operativo per gestire l'accesso SSH alle istanze utilizzando IAM senza dover creare e gestire singole chiavi SSH. L'OS Login mantiene un'identità utente Linux coerente tra le istanze VM ed è il modo consigliato per gestire molti utenti su più VM o progetti.

Vantaggi di OS Login

OS Login semplifica la gestione dell'accesso SSH collegando il tuo account utente Linux alla tua identità Google. Gli amministratori possono gestire facilmente l'accesso alle istanze a livello di istanza o di progetto impostando le autorizzazioni IAM.

OS Login offre i seguenti vantaggi:

• Gestione automatica del ciclo di vita degli account Linux: puoi collegare direttamente un account utente Linux all'identità Google di un utente in modo che le stesse informazioni dell'account Linux vengano utilizzate in tutte le istanze dello stesso progetto o della stessa organizzazione.

• Autorizzazione granulare utilizzando IAM di Google: gli amministratori di progetti e a livello di istanza possono utilizzare IAM per concedere l'accesso SSH all'identità Google di un utente senza concedere un insieme più ampio di privilegi. Ad esempio, puoi concedere a un utente le autorizzazioni per accedere al sistema, ma non la possibilità di eseguire comandi come sudo. Google controlla queste autorizzazioni per determinare se un utente può accedere a un'istanza VM.

• Aggiornamenti automatici delle autorizzazioni: con l'accesso al sistema operativo, le autorizzazioni vengono aggiornate automaticamente quando un amministratore modifica le autorizzazioni IAM. Ad esempio, se rimuovi le autorizzazioni IAM da un'identità Google, l'accesso alle istanze VM viene revocato. Google controlla le autorizzazioni per ogni tentativo di accesso per impedire l'accesso indesiderato.

• Possibilità di importare account Linux esistenti: gli amministratori possono scegliere di sincronizzare facoltativamente i dati dell'account Linux da Active Directory (AD) e Lightweight Directory Access Protocol (LDAP) configurati on-premise. Ad esempio, puoi assicurarti che gli utenti abbiano lo stesso ID utente (UID) sia negli ambienti cloud che on-premise.

• Integrazione con la verifica in due passaggi dell'Account Google: se vuoi, puoi richiedere agli utenti di OS Login di convalidare la propria identità utilizzando uno dei seguenti metodi o tipi di verifica dell'identità in due passaggi (V2P) quando si connettono alle VM:

  • Google Authenticator
  • Verifica tramite messaggio di testo o chiamata
  • Prompt telefonici
  • Password monouso (OTP) del token di sicurezza

• Supporto dell'autenticazione basata su certificato (anteprima): puoi utilizzare l'autenticazione con certificato SSH per connetterti alle VM che utilizzano OS Login. Per ulteriori informazioni, consulta Requisire certificati SSH con OS Login.

• Integrazione con l'audit logging: OS Login fornisce log di controllo che puoi utilizzare per monitorare le connessioni alle VM per gli utenti di OS Login.

Come funziona OS Login

Quando OS Login è attivato, Compute Engine esegue le configurazioni sulle VM e sugli Account Google degli utenti di OS Login.

Configurazione della VM

Quando attivi l'OS Login, Compute Engine elimina i file authorized_keys della VM e configura un server OpenSSH. Questo server recupera le chiavi SSH associate all'account utente Linux per autenticare il tentativo di accesso.

Puoi configurare un file authorized_keys per eseguire il provisioning dell'accesso per un account utente locale anche quando l'OS Login è abilitato. Le chiavi pubbliche SSH configurate nel file authorized_keys vengono utilizzate per autenticare i tentativi di accesso dell'utente locale. Gli account utente locali devono avere un nome utente e un UID diversi rispetto agli utenti di OS Login.

Per ulteriori informazioni sui componenti di OS Login, consulta la pagina GitHub di OS Login.

Configurazione dell'account utente

OS Login configura il tuo Account Google con i dati POSIX, incluso un nome utente, quando esegui una delle seguenti operazioni:

• Connettiti a una VM con OS Login abilitato utilizzando la Google Cloud console
• Connettiti a una VM con OS Login abilitato utilizzando gcloud CLI
• Importa una chiave SSH pubblica utilizzando gcloud CLI
• Importa una chiave pubblica SSH utilizzando l'API OS Login

OS Login configura gli account POSIX con i seguenti valori:

• Nome utente:un nome utente nel formatoUSERNAME_DOMAIN_SUFFIX. Se l'utente appartiene a un'organizzazione Google Workspace diversa da quella che ospita le VM con OS Login abilitato, il nome utente è preceduto da ext_. Se l'utente è un account di servizio, il nome utente è preceduto da sa_.

  Gli amministratori di Cloud Identity possono modificare i nomi utente e i super amministratori di Google Workspace possono cambiare il formato del nome utente per rimuovere il suffisso del dominio.

• UID: un ID utente conforme a POSIX unico e generato in modo casuale.

• GID: un ID gruppo conforme a POSIX che corrisponde all'UID.

• Home directory:il percorso della home directory dell'utente.

Gli amministratori dell'organizzazione possono configurare e aggiornare le informazioni dell'account POSIX di un utente. Per ulteriori informazioni, consulta Modificare gli account utente utilizzando l'API Directory.

Passaggi successivi

• Per istruzioni dettagliate, consulta una delle seguenti risorse:
  • Configurazione di OS Login.
  • Configurare l'accesso all'OS Login in due passaggi
• Consulta la sezione Gestire OS Login in un'organizzazione
• Risolvi i problemi relativi a OS Login.