Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni su OS Login

Questa pagina descrive il servizio di accesso al sistema operativo e il suo funzionamento. Per scoprire come configurare OS Login, vedi Configura OS Login.

Usa OS Login per gestire l'accesso SSH alle istanze con IAM senza dover per creare e gestire singole chiavi SSH. L'accesso al sistema operativo mantiene un'identità utente Linux coerente nelle istanze VM ed è il modo consigliato per gestire molti utenti su più VM o progetti.

Vantaggi di OS Login

OS Login semplifica la gestione dell'accesso SSH collegando il tuo account utente Linux a la tua identità Google. Gli amministratori possono gestire facilmente l'accesso alle istanze a livello di istanza o di progetto impostando le autorizzazioni IAM.

OS Login offre i seguenti vantaggi:

Gestione automatica del ciclo di vita degli account Linux: puoi collegare direttamente da un account utente Linux all'identità Google di un utente, in modo che i dati dell'account vengono utilizzati in tutte le istanze dello stesso progetto dell'organizzazione.
Autorizzazione granulare con Google IAM: gli amministratori di progetti e a livello di istanza possono utilizzare IAM per concedere l'accesso SSH all'identità Google di un utente senza concedere un insieme più ampio di privilegi. Ad esempio: puoi concedere a un utente le autorizzazioni per accedere al sistema, ma non possibilità di eseguire comandi come sudo. Google controlla queste autorizzazioni per determinare se un utente può accedere a un'istanza VM.
Aggiornamenti automatici delle autorizzazioni: con l'accesso al sistema operativo, le autorizzazioni vengono aggiornate automaticamente quando un amministratore modifica le autorizzazioni IAM. Ad esempio, se rimuovi le autorizzazioni IAM da un'identità Google, e l'accesso alle istanze VM viene revocato. Google controlla le autorizzazioni per a ogni tentativo di accesso per impedire accessi indesiderati.
Possibilità di importare account Linux esistenti - Amministratori puoi scegliere di sincronizzare facoltativamente i dati dell'account Linux Active Directory (AD) e il protocollo LDAP (Lightweight Directory Access Protocol) sono configurate on-premise. Ad esempio, puoi assicurarti che gli utenti abbiano lo stesso ID utente (UID) sia negli ambienti cloud che on-premise.
Integrazione con la verifica in due passaggi dell'Account Google. Se vuoi, puoi richiede agli utenti di OS Login di convalidare la propria identità utilizzando uno dei seguenti metodi: Metodi di verifica in due passaggi (2FA) o tipi di verifica per la connessione alle VM:
- Google Authenticator
- Verifica tramite messaggio di testo o chiamata
- Prompt telefonici
- Password monouso (OTP) del token di sicurezza
Integrazione con il logging di controllo: OS Login fornisce log di controllo che puoi utilizzare e monitorare le connessioni alle VM per gli utenti di OS Login.

Come funziona OS Login

Quando OS Login è attivato, Compute Engine esegue le configurazioni sulle VM e sugli Account Google degli utenti di OS Login.

Configurazione della VM

Le immagini pubbliche fornite da Google includono utilità e componenti per gestire la VM l'accesso. Quando attivi l'accesso OS, nella VM vengono configurati i seguenti componenti e le seguenti configurazioni:

Elimina i file authorized_keys della VM.
Configura un server OpenSSH con l'opzione AuthorizedKeysCommand. Questo comando recupera le chiavi SSH associate all'account utente Linux per autenticare il tentativo di accesso.

Nota: puoi configurare un file authorized_keys per eseguire il provisioning dell'accesso per un account utente locale anche quando OS Login è abilitato. Se configurato, SSH pubblico Le chiavi configurate nel file authorized_keys vengono usate per autenticare l'utente tentativi di accesso da parte dell'utente locale. Gli account utente locali devono avere un nome utente e un UID diversi da quelli utilizzati dagli utenti di accesso al sistema operativo.
Configura la funzionalità NSS (Name Service Switch) per fornire il OS Login le informazioni utente al sistema operativo.
Aggiunge un insieme di moduli di autenticazione collegabili (PAM) per aiutare ad autorizzare l'accesso utente, come l'impostazione del Home directory dell'account utente Linux o gestione delle verifiche 2FA se questa funzionalità è abilitata.

Per ulteriori informazioni sui componenti di OS Login, consulta la Pagina GitHub di OS Login.

Configurazione account utente

OS Login configura il tuo Account Google con informazioni POSIX, tra cui un quando esegui una delle seguenti operazioni:

Connettiti a una VM abilitata per OS Login utilizzando la console Google Cloud
Connettiti a una VM con OS Login abilitato utilizzando l'interfaccia a riga di comando gcloud
Importa una chiave SSH pubblica utilizzando gcloud CLI
Importa una chiave SSH pubblica utilizzando l'API OS Login

OS Login configura gli account POSIX con i seguenti valori:

Nome utente: un nome utente nel formato USERNAME_DOMAIN_SUFFIX. Se l'utente appartiene a un'organizzazione Google Workspace diversa da quella una che ospita le VM abilitate per OS Login, il nome utente è preceduto da con ext_. Se l'utente è un account di servizio, il suo nome utente sarà preceduto dal prefisso sa_.

Gli amministratori di Cloud Identity possono modificare i nomi utente e i super amministratori di Google Workspace possono cambiare il formato del nome utente per rimuovere il suffisso del dominio.
UID:un nome univoco generato in modo casuale POSIX-compliant ID utente.
GID:un ID gruppo compatibile con POSIX e uguale all'UID.
Home directory: il percorso della home directory dell'utente.

Gli amministratori dell'organizzazione possono configurare e aggiornare le informazioni dell'account POSIX di un utente. Per ulteriori informazioni, consulta Modificare gli account utente utilizzando l'API Directory.

Passaggi successivi

Per istruzioni dettagliate, consulta una delle seguenti risorse:
- Configura OS Login.
- Configurare OS Login con la verifica in due passaggi
Consulta Gestire OS Login in un'organizzazione
Risolvi i problemi relativi a OS Login.