Nesta página, descrevemos o serviço Login do SO e como ele funciona. Para informações sobre como configurar o Login do SO ou instruções passo a passo, consulte Como configurar o Login do SO ou Como configurar o Login do SO com a verificação em duas etapas.
Use o Login do SO para gerenciar o acesso SSH às instâncias usando o IAM sem ter que criar e gerenciar chaves SSH individuais. O login do SO mantém uma identidade de usuário consistente do Linux nas instâncias de VM e é o método recomendado para gerenciar muitos usuários em várias instâncias ou projetos.
Benefícios do login do SO
O login do SO simplifica o gerenciamento do acesso SSH porque vincula sua conta de usuário do Linux à sua identidade do Google. Os administradores podem gerenciar facilmente o acesso a instâncias no nível da instância ou do projeto, definindo permissões do IAM.
O login do SO oferece os seguintes benefícios:
Gerenciamento automático do ciclo de vida da conta do Linux: vincule diretamente uma conta de usuário do Linux à identidade de um usuário do Google para que as mesmas informações sejam usadas em todas as instâncias no mesmo projeto ou organização.
Autorização detalhada usando o Google IAM: os administradores no nível do projeto e da instância podem usar o IAM para conceder acesso SSH à identidade do Google de um usuário sem conceder um conjunto mais amplo de privilégios. Por exemplo, é possível conceder a um usuário permissões para fazer login no sistema, mas não a capacidade de executar comandos como
sudo. O Google verifica essas permissões para determinar se um usuário pode fazer login em uma instância de VM.Atualizações automáticas de permissões: com o Login do SO, as permissões são atualizadas automaticamente quando um administrador altera as permissões do IAM. Por exemplo, ao remover as permissões do IAM de uma identidade do Google, o acesso às instâncias de VM será revogado. O Google verifica as permissões para cada tentativa de login para impedir acessos indesejados.
Capacidade de importar contas atuais do Linux: os administradores podem sincronizar informações da conta do Linux do Active Directory (AD) e do protocolo Lightweight Directory Access Protocol (LDAP) que são configurados no local. Por exemplo, é possível garantir que os usuários tenham o mesmo código do usuário (UID, sigla em inglês) nos ambientes local e em nuvem.
Como o login do SO funciona
As imagens públicas fornecidas pelo Google incluem utilitários e componentes para gerenciar o acesso à VM. Quando você ativa o login do SO, um script auxiliar ativa estes componentes e executa as seguintes configurações:
- Configura um servidor OpenSSH com a opção
AuthorizedKeysCommand. Esse comando recupera as chaves SSH associadas à conta de usuário do Linux para autenticar a tentativa de login. - Configura a funcionalidade de comutador de serviço de nomes (NSS, na sigla em inglês) para fornecer ao sistema operacional as informações de login do usuário.
- Adiciona um conjunto de configurações de módulos de autenticação plugáveis (PAM) para autorizar o login do usuário. Estas configurações executam verificações de permissão do IAM para login e acesso administrativo. Elas também executam outras tarefas, como configurar o diretório pessoal da conta de usuário do Linux.
Para informações mais detalhadas sobre os componentes de login do SO, consulte a página Login do SO no GitHub.
A seguir
- Para instruções passo a passo, leia um dos seguintes procedimentos:
- Leia Como gerenciar o Login do SO em uma organização.
- Solução de problemas do Login do SO.