Informazioni su OS Login

In questa pagina viene descritto il servizio OS Login e il relativo funzionamento. Per scoprire come configurare OS Login, consulta Configurare OS Login.

Utilizza OS Login per gestire l'accesso SSH alle istanze mediante IAM senza dover creare e gestire singole chiavi SSH. OS Login mantiene un'identità utente Linux coerente in tutte le istanze VM ed è il metodo consigliato per gestire molti utenti su più VM o progetti.

Vantaggi di OS Login

OS Login semplifica la gestione degli accessi SSH collegando il tuo account utente Linux alla tua identità Google. Gli amministratori possono gestire facilmente l'accesso alle istanze a livello di istanza o progetto impostando le autorizzazioni IAM.

OS Login offre i seguenti vantaggi:

Gestione automatica del ciclo di vita dell'account Linux: puoi collegare direttamente un account utente Linux all'identità Google di un utente in modo che le stesse informazioni dell'account Linux vengano utilizzate in tutte le istanze dello stesso progetto o della stessa organizzazione.
Autorizzazione granulare utilizzando Google IAM: gli amministratori a livello di progetto e di istanza possono utilizzare IAM per concedere l'accesso SSH all'identità Google di un utente senza concedere un set più ampio di privilegi. Ad esempio, puoi concedere a un utente le autorizzazioni per accedere al sistema, ma non la possibilità di eseguire comandi come sudo. Google controlla queste autorizzazioni per determinare se un utente può accedere a un'istanza VM.
Aggiornamenti automatici delle autorizzazioni: con OS Login, le autorizzazioni vengono aggiornate automaticamente quando un amministratore modifica le autorizzazioni IAM. Ad esempio, se rimuovi le autorizzazioni IAM da un'identità Google, l'accesso alle istanze VM viene revocato. Google controlla le autorizzazioni a ogni tentativo di accesso per impedire l'accesso indesiderato.
Possibilità di importare account Linux esistenti: gli amministratori possono scegliere di sincronizzare facoltativamente i dati degli account Linux da Active Directory (AD) e Lightweight Directory Access Protocol (LDAP) configurati on-premise. Ad esempio, puoi assicurarti che gli utenti abbiano lo stesso ID utente (UID) sia nell'ambiente cloud che in quello on-premise.
Integrazione con la verifica in due passaggi dell'Account Google: facoltativamente, puoi richiedere agli utenti di OS Login di convalidare la propria identità utilizzando uno dei seguenti metodi di verifica in due passaggi o tipi di verifica durante la connessione alle VM:
- Google Authenticator
- Verifica tramite messaggio di testo o chiamata telefonica
- Richieste sullo smartphone
- Password monouso (OTP) del token di sicurezza
Integrazione con l'audit logging: OS Login fornisce l'audit logging che puoi utilizzare per monitorare le connessioni alle VM per gli utenti di OS Login.

Come funziona OS Login

Quando OS Login è abilitato, Compute Engine esegue le configurazioni sulle VM e sugli Account Google degli utenti di OS Login.

Configurazione della VM

Le immagini pubbliche fornite da Google includono utilità e componenti per gestire l'accesso alle VM. Quando attivi OS Login, sulla VM vengono configurati i componenti e le configurazioni seguenti:

Elimina i file authorized_keys della VM.
Configura un server OpenSSH con l'opzione AuthorizedKeysCommand. Questo comando recupera le chiavi SSH associate all'account utente Linux per autenticare il tentativo di accesso.

Nota: puoi configurare un file authorized_keys per eseguire il provisioning dell'accesso per un account utente locale anche quando OS Login è abilitato. Se configurate, le chiavi pubbliche SSH configurate nel file authorized_keys vengono utilizzate per autenticare i tentativi di accesso da parte dell'utente locale. Gli account utente locali devono avere un nome utente e un UID diversi da quelli utilizzati dagli utenti di OS Login.
Configura la funzionalità NSS (Name Service Switch) per fornire informazioni utente OS Login al sistema operativo.
Aggiunge un insieme di configurazioni di Pluggable Authentication Module (PAM) per autorizzare l'accesso dell'utente. Le configurazioni PAM eseguono controlli delle autorizzazioni IAM per l'accesso e l'accesso amministrativo. Queste configurazioni PAM eseguono anche altre attività come la configurazione della home directory dell'account utente Linux.

Per ulteriori informazioni sui componenti di OS Login, consulta la pagina GitHub di OS Login.

Configurazione dell'account utente

OS Login configura il tuo Account Google con i dati POSIX, incluso un nome utente, quando esegui una delle seguenti operazioni:

Connettersi a una VM abilitata per OS Login utilizzando la console Google Cloud
Connettiti a una VM abilitata per OS Login utilizzando gcloud CLI
Importa una chiave SSH pubblica utilizzando gcloud CLI
Importa una chiave SSH pubblica utilizzando l'API OS Login

OS Login configura gli account POSIX con i seguenti valori:

Nome utente: un nome utente nel formato USERNAME_DOMAIN_SUFFIX. Se l'utente appartiene a un'organizzazione Google Workspace diversa da quella che ospita le VM abilitate per OS Login, il nome utente è preceduto dal prefisso ext_. Se l'utente è un account di servizio, il suo nome utente è preceduto dal prefisso sa_.

Gli amministratori di Cloud Identity possono modificare i nomi utente e i super amministratori di Google Workspace possono modificare il formato del nome utente per rimuovere il suffisso di dominio.
UID: un ID utente univoco generato in modo compatibile con POSIX.
GID:un ID gruppo conforme a POSIX uguale all'UID.
Directory home:il percorso della home directory dell'utente.

Gli amministratori dell'organizzazione possono configurare e aggiornare le informazioni dell'account POSIX di un utente. Per maggiori informazioni, consulta Modificare gli account utente utilizzando l'API Directory.

Passaggi successivi

Per istruzioni dettagliate, esamina una delle seguenti opzioni:
- Configurazione di OS Login.
- Configurare OS Login con la verifica in due passaggi
Consulta Gestire OS Login in un'organizzazione
Risolvi i problemi relativi a OS Login.