Sobre o Login do SO


Nesta página, descrevemos o serviço Login do SO e como ele funciona. Para saber como configurar o Login do SO, consulte Configurar o Login do SO.

Use o Login do SO para gerenciar o acesso SSH às instâncias usando o IAM sem ter que criar e gerenciar chaves SSH individuais. O login do SO mantém uma identidade de usuário consistente do Linux nas instâncias de VM e é o método recomendado para gerenciar muitos usuários em várias VMs ou projetos.

Benefícios do Login do SO

O login do SO simplifica o gerenciamento do acesso SSH porque vincula sua conta de usuário do Linux à sua identidade do Google. Os administradores podem gerenciar facilmente o acesso a instâncias no nível da instância ou do projeto, definindo permissões do IAM.

O login do SO oferece os seguintes benefícios:

  • Gerenciamento automático do ciclo de vida da conta do Linux: vincule diretamente uma conta de usuário do Linux à identidade de um usuário do Google para que as mesmas informações sejam usadas em todas as instâncias no mesmo projeto ou organização.

  • Autorização detalhada usando o Google IAM: os administradores no nível do projeto e da instância podem usar o IAM para conceder acesso SSH à identidade do Google de um usuário sem conceder um conjunto mais amplo de privilégios. Por exemplo, é possível conceder a um usuário permissões para fazer login no sistema, mas não a capacidade de executar comandos como sudo. O Google verifica essas permissões para determinar se um usuário pode fazer login em uma instância de VM.

  • Atualizações automáticas de permissões: com o Login do SO, as permissões são atualizadas automaticamente quando um administrador altera as permissões do IAM. Por exemplo, ao remover as permissões do IAM de uma identidade do Google, o acesso às instâncias de VM será revogado. O Google verifica as permissões para cada tentativa de login para impedir acessos indesejados.

  • Capacidade de importar contas atuais do Linux: os administradores podem sincronizar informações da conta do Linux do Active Directory (AD) e do protocolo Lightweight Directory Access Protocol (LDAP) que são configurados no local. Por exemplo, é possível garantir que os usuários tenham o mesmo código do usuário (UID, sigla em inglês) nos ambientes local e em nuvem.

  • Integração com a verificação em duas etapas da Conta do Google: você tem a opção de exigir que os usuários do Login do SO validem a própria identidade usando um dos métodos de verificação em duas etapas (autenticação de dois fatores) ou tipos de desafio a seguir ao se conectarem a VMs:

  • Integração com o registro de auditoria: o Login do SO fornece registro de auditoria que pode ser usado para monitorar conexões com as VMs de usuários do Login do SO.

Como o login do SO funciona

Quando o Login do SO está ativado, o Compute Engine executa as configurações nas VMs e nas Contas do Google dos usuários do Login do SO.

Configuração de VM

As imagens públicas fornecidas pelo Google incluem utilitários e componentes para gerenciar o acesso à VM. Quando você ativa o Login do SO, os seguintes componentes e configurações são configurados na VM:

  • Exclui os arquivos authorized_keys da VM.
  • Configura um servidor OpenSSH com a opção AuthorizedKeysCommand. Esse comando recupera as chaves SSH associadas à conta de usuário do Linux para autenticar a tentativa de login.

  • Configura a funcionalidade de comutador de serviço de nomes (NSS, na sigla em inglês) para fornecer ao sistema operacional as informações de login do usuário.

  • Adiciona um conjunto de configurações de módulos de autenticação plugáveis (PAM) para ajudar a autorizar o login do usuário, como configurar o diretório pessoal da conta de usuário do Linux ou processar desafios de autenticação de dois fatores, se ela estiver ativada.

Para mais informações sobre os componentes do Login do SO, consulte a página sobre Login do SO no GitHub (em inglês).

Configuração da conta de usuário

O Login do SO configura sua Conta do Google com informações de POSIX, inclusive um nome de usuário, quando você realiza uma das seguintes ações:

  • Conectar-se a uma VM com o Login do SO ativado no console do Google Cloud
  • Conectar-se a uma VM habilitada para Login do SO usando a CLI gcloud
  • Importar uma chave SSH pública usando a CLI gcloud
  • Importar uma chave SSH pública usando a API Login do SO

O Login do SO configura contas POSIX com os seguintes valores:

  • Nome de usuário: um nome de usuário no formato de USERNAME_DOMAIN_SUFFIX. Se o usuário for de uma organização do Google Workspace diferente da que hospeda as VMs ativadas para o Login do SO, o nome de usuário dele será prefixado com ext_. Se o usuário for uma conta de serviço, o nome de usuário dela será prefixado com sa_.

    Os administradores do Cloud Identity podem modificar os nomes de usuário e os superadministradores do Google Workspace podem alterar o formato de nome de usuário para remover o sufixo do domínio.

  • UID: um ID do usuário exclusivo, gerado aleatoriamente POSIX-compliant.

  • GID: um ID de grupo compatível com POSIX que é igual ao UID.

  • Diretório inicial: o caminho para o diretório inicial do usuário.

Os administradores da organização podem configurar e atualizar as informações da conta POSIX de um usuário. Para mais informações, consulte Modificar contas de usuário usando a API Directory.

A seguir