Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni su OS Login

Questa pagina descrive il servizio di OS Login e il suo funzionamento. Per scoprire come configurare OS Login, consulta Configurare l'accesso OS.

Utilizza OS Login per gestire l'accesso SSH alle tue istanze utilizzando IAM senza dover creare e gestire singole chiavi SSH. L'OS Login mantiene un'identità utente Linux coerente nelle istanze VM ed è il modo consigliato per gestire molti utenti su più VM o progetti.

Vantaggi di OS Login

OS Login semplifica la gestione dell'accesso SSH collegando il tuo account utente Linux alla tua identità Google. Gli amministratori possono gestire facilmente l'accesso alle istanze a livello di istanza o di progetto impostando le autorizzazioni IAM.

OS Login offre i seguenti vantaggi:

Gestione automatica del ciclo di vita degli account Linux: puoi collegare direttamente un account utente Linux all'identità Google di un utente in modo che le stesse informazioni dell'account Linux vengano utilizzate in tutte le istanze dello stesso progetto o della stessa organizzazione.
Autorizzazione granulare con Google IAM: gli amministratori di progetti e a livello di istanza possono utilizzare IAM per concedere l'accesso SSH all'identità Google di un utente senza concedere un insieme più ampio di privilegi. Ad esempio, puoi concedere a un utente le autorizzazioni per accedere al sistema, ma non la possibilità di eseguire comandi come sudo. Google controlla queste autorizzazioni per determinare se un utente può accedere a un'istanza VM.
Aggiornamenti automatici delle autorizzazioni: con l'accesso al sistema operativo, le autorizzazioni vengono aggiornate automaticamente quando un amministratore modifica le autorizzazioni IAM. Ad esempio, se rimuovi le autorizzazioni IAM da un'identità Google, l'accesso alle istanze VM viene revocato. Google controlla le autorizzazioni per ogni tentativo di accesso per impedire l'accesso indesiderato.
Possibilità di importare account Linux esistenti: gli amministratori possono scegliere di sincronizzare facoltativamente i dati dell'account Linux da Active Directory (AD) e Lightweight Directory Access Protocol (LDAP) configurati on-premise. Ad esempio, puoi assicurarti che gli utenti abbiano lo stesso ID utente (UID) sia negli ambienti cloud che on-premise.
Integrazione con la verifica in due passaggi dell'Account Google: se vuoi, puoi richiedere agli utenti di OS Login di convalidare la propria identità utilizzando uno dei seguenti metodi o tipi di verifica dell'identità in due passaggi (V2P) quando si connettono alle VM:
- Google Authenticator
- Verifica tramite messaggio di testo o chiamata
- Prompt telefonici
- Password monouso (OTP) del token di sicurezza
Integrazione con l'audit logging: OS Login fornisce log di controllo che puoi utilizzare per monitorare le connessioni alle VM per gli utenti di OS Login.

Come funziona OS Login

Quando OS Login è attivato, Compute Engine esegue le configurazioni sulle VM e sugli Account Google degli utenti di OS Login.

Configurazione della VM

Le immagini pubbliche fornite da Google includono utilità e componenti per gestire l'accesso alle VM. Quando attivi lOS Login, nella VM vengono configurati i seguenti componenti e le seguenti configurazioni:

Elimina i file authorized_keys della VM.
Configura un server OpenSSH con l'opzione AuthorizedKeysCommand. Questo comando recupera le chiavi SSH associate all'account utente Linux per autenticare il tentativo di accesso.

Nota: puoi configurare un file authorized_keys per eseguire il provisioning dell'accesso per un account utente locale anche quando l'OS Login è abilitato. Se configurate, le chiavi pubbliche SSH configurate nel file authorized_keys vengono utilizzate per autenticare i tentativi di accesso dell'utente da parte dell'utente locale. Gli account utente locali devono avere un nome utente e un UID diversi da quelli utilizzati dagli utenti di OS Login operativo.
Configura la funzionalità NSS (Name Service Switch) per fornire al sistema operativo le informazioni sull'utente di accesso al sistema operativo.
Aggiunge un insieme di configurazioni di Pluggable Authentication Modules (PAM) per contribuire ad autorizzare l'accesso degli utenti, ad esempio la configurazione della home directory dell'account utente Linux o la gestione delle sfide dell'autenticazione a due fattori, se abilitata.

Per ulteriori informazioni sui componenti di OS Login, consulta la pagina GitHub di OS Login.

Configurazione dell'account utente

OS Login configura il tuo Account Google con i dati POSIX, incluso un nome utente, quando esegui una delle seguenti operazioni:

Connettiti a una VM con OS Login abilitato utilizzando la console Google Cloud
Connettiti a una VM con OS Login abilitato utilizzando gcloud CLI
Importa una chiave SSH pubblica utilizzando gcloud CLI
Importa una chiave pubblica SSH utilizzando l'API OS Login

OS Login configura gli account POSIX con i seguenti valori:

Nome utente:un nome utente nel formatoUSERNAME_DOMAIN_SUFFIX. Se l'utente appartiene a un'organizzazione Google Workspace diversa da quella che ospita le VM con OS Login abilitato, il nome utente è preceduto da ext_. Se l'utente è un account di servizio, il nome utente è preceduto da sa_.

Gli amministratori di Cloud Identity possono modificare i nomi utente e i super amministratori di Google Workspace possono cambiare il formato del nome utente per rimuovere il suffisso del dominio.
UID: un ID utente conforme a POSIX unico e generato in modo casuale.
GID: un ID gruppo conforme a POSIX che corrisponde all'UID.
Home directory:il percorso della home directory dell'utente.

Gli amministratori dell'organizzazione possono configurare e aggiornare le informazioni dell'account POSIX di un utente. Per ulteriori informazioni, consulta Modificare gli account utente utilizzando l'API Directory.

Passaggi successivi

Per istruzioni dettagliate, consulta una delle seguenti risorse:
- Configurazione di OS Login.
- Configurare OS Login con la verifica in due passaggi
Consulta la sezione Gestire OS Login in un'organizzazione
Risolvi i problemi relativi a OS Login.