Esta página descreve o serviço de Login do SO e como ele funciona. Para saber como configurar o Login do SO, consulte Configurar o Login do SO .
Use o login do sistema operacional para gerenciar o acesso SSH às suas instâncias usando o IAM sem precisar criar e gerenciar chaves SSH individuais. O Login do SO mantém uma identidade de usuário Linux consistente em instâncias de VM e é a maneira recomendada de gerenciar muitos usuários em várias VMs ou projetos.
Benefícios do login do sistema operacional
O Login do SO simplifica o gerenciamento de acesso SSH vinculando sua conta de usuário Linux à sua identidade do Google. Os administradores podem gerenciar facilmente o acesso a instâncias em nível de instância ou de projeto, definindo permissões do IAM.
O Login do SO oferece os seguintes benefícios:
Gerenciamento automático do ciclo de vida da conta do Linux : você pode vincular diretamente uma conta de usuário do Linux à identidade do Google de um usuário para que as mesmas informações da conta do Linux sejam usadas em todas as instâncias do mesmo projeto ou organização.
Autorização detalhada usando o Google IAM - Os administradores em nível de projeto e de instância podem usar o IAM para conceder acesso SSH à identidade do Google de um usuário sem conceder um conjunto mais amplo de privilégios. Por exemplo, você pode conceder a um usuário permissões para fazer login no sistema, mas não a capacidade de executar comandos como
sudo. O Google verifica essas permissões para determinar se um usuário pode fazer login em uma instância de VM.Atualizações automáticas de permissões – Com o login do sistema operacional, as permissões são atualizadas automaticamente quando um administrador altera as permissões do IAM. Por exemplo, se você remover as permissões do IAM de uma identidade do Google, o acesso às instâncias de VM será revogado. O Google verifica as permissões para cada tentativa de login para evitar acesso indesejado.
Capacidade de importar contas Linux existentes - Os administradores podem optar por sincronizar opcionalmente as informações da conta Linux do Active Directory (AD) e do Lightweight Directory Access Protocol (LDAP) configurados no local. Por exemplo, você pode garantir que os usuários tenham o mesmo ID de usuário (UID) nos ambientes na nuvem e no local.
Integração com verificação em duas etapas da Conta do Google - Opcionalmente, você pode exigir que os usuários do Login do SO validem sua identidade usando um dos seguintes métodos de verificação em duas etapas (2FA) ou tipos de desafio ao se conectarem a VMs:
- Autenticador Google
- Verificação de mensagem de texto ou chamada telefônica
- Avisos de telefone
- Senha única da chave de segurança (OTP)
Integração com log de auditoria – o Login do SO fornece log de auditoria que você pode usar para monitorar conexões com VMs para usuários do Login do SO.
Como funciona o login do sistema operacional
Quando o Login do SO está ativado, o Compute Engine realiza configurações nas VMs e nas contas do Google dos usuários do Login do SO.
Configuração de VM
As imagens públicas fornecidas pelo Google incluem utilitários e componentes para gerenciar o acesso à VM. Quando você habilita o Login do SO, os seguintes componentes e configurações são configurados na VM:
- Exclui os arquivos
authorized_keysda VM. Configura um servidor OpenSSH com a opção
AuthorizedKeysCommand. Este comando recupera as chaves SSH associadas à conta do usuário Linux para autenticar a tentativa de login.Configura a funcionalidade NSS (Name Service Switch) para fornecer as informações do usuário de login do sistema operacional ao sistema operacional.
Adiciona um conjunto de configurações de Módulos de Autenticação Plugáveis (PAM) para auxiliar na autorização de login do usuário, como configurar o diretório inicial da conta de usuário do Linux ou lidar com desafios 2FA se o 2FA estiver habilitado.
Para obter mais informações sobre os componentes do Login do SO, revise a página GitHub do Login do SO .
Configuração da conta de usuário
O Login do SO configura sua conta do Google com informações POSIX, incluindo um nome de usuário, quando você faz o seguinte:
- Conecte-se a uma VM habilitada para login do SO usando o console do Google Cloud
- Conecte-se a uma VM habilitada para login do SO usando a CLI gcloud
- Importe uma chave SSH pública usando a CLI gcloud
- Importe uma chave SSH pública usando a API de login do sistema operacional
O Login do SO configura contas POSIX com os seguintes valores:
Nome de usuário: um nome de usuário no
USERNAME _ DOMAIN _ SUFFIXSe o usuário for de uma organização do Google Workspace diferente daquela que hospeda as VMs habilitadas para login do SO, o nome de usuário será prefixado comext_. Se o usuário for uma conta de serviço, seu nome de usuário será prefixado comsa_.Os administradores do Cloud Identity podem modificar os nomes de usuário e os superadministradores do Google Workspace podem alterar o formato do nome de usuário para remover o sufixo do domínio .
UID: um ID de usuário exclusivo, gerado aleatoriamente e compatível com POSIX .
GID: um ID de grupo compatível com POSIX que é igual ao UID.
Diretório inicial: o caminho para o diretório inicial do usuário.
Os administradores da organização podem configurar e atualizar as informações da conta POSIX de um usuário. Para obter mais informações, consulte Modificar contas de usuário usando a API Directory .
O que vem a seguir
- Para obter instruções passo a passo, revise um dos seguintes:
- Revise Gerenciando o login do sistema operacional em uma organização
- Solucionar problemas de login do sistema operacional.