Esta página descreve o serviço de início de sessão no SO e como funciona. Para saber como configurar o Início de sessão do SO, consulte o artigo Configure o Início de sessão do SO.
Use o Início de sessão do SO para gerir o acesso SSH às suas instâncias através do IAM sem ter de criar e gerir chaves SSH individuais. O Início de sessão do SO mantém uma identidade de utilizador do Linux consistente nas instâncias de VM e é a forma recomendada de gerir muitos utilizadores em várias VMs ou projetos.
Vantagens do Início de sessão do SO
O Início de sessão do SO simplifica a gestão do acesso SSH associando a sua conta de utilizador do Linux à sua identidade Google. Os administradores podem gerir facilmente o acesso às instâncias ao nível da instância ou do projeto, definindo autorizações do IAM.
O Início de sessão do SO oferece as seguintes vantagens:
Gestão automática do ciclo de vida da conta Linux: pode associar diretamente uma conta de utilizador do Linux à identidade Google de um utilizador para que as mesmas informações da conta Linux sejam usadas em todas as instâncias no mesmo projeto ou organização.
Autorização detalhada através do IAM da Google: os administradores ao nível do projeto e da instância podem usar o IAM para conceder acesso SSH à identidade Google de um utilizador sem conceder um conjunto mais amplo de privilégios. Por exemplo, pode conceder a um utilizador autorizações para iniciar sessão no sistema, mas não a capacidade de executar comandos como
sudo. A Google verifica estas autorizações para determinar se um utilizador pode iniciar sessão numa instância de VM.Atualizações automáticas de autorizações: com o Início de sessão no SO, as autorizações são atualizadas automaticamente quando um administrador altera as autorizações do IAM. Por exemplo, se remover as autorizações da IAM de uma identidade Google, o acesso às instâncias de VM é revogado. A Google verifica as autorizações para cada tentativa de início de sessão para impedir o acesso indesejado.
Capacidade de importar contas Linux existentes: os administradores podem optar por sincronizar as informações da conta Linux do Active Directory (AD) e do Lightweight Directory Access Protocol (LDAP) que estão configurados no local. Por exemplo, pode garantir que os utilizadores têm o mesmo ID de utilizador (UID) nos seus ambientes na nuvem e no local.
Integração com a validação em dois passos da Conta Google: opcionalmente, pode exigir que os utilizadores do Início de sessão no SO validem a respetiva identidade através de um dos seguintes métodos de validação em dois passos (2FA) ou tipos de desafios quando se ligam a VMs:
- Google Authenticator
- Validação por mensagem de texto ou chamada telefónica
- Comandos telefónicos
- Palavra-passe de utilização única (PUU) da chave de segurança
Suporte para autenticação baseada em certificados (pré-visualização): pode usar a autenticação de certificados SSH para se ligar a VMs que usam o Início de sessão do SO. Para mais informações, consulte o artigo Exija certificados SSH com o Início de sessão no SO.
Integração com o registo de auditoria: o Início de sessão do SO fornece um registo de auditoria que pode usar para monitorizar as ligações a VMs para utilizadores do Início de sessão do SO.
Como funciona o Início de sessão do SO
Quando o Início de sessão do SO está ativado, o Compute Engine faz configurações nas VMs e nas Contas Google dos utilizadores do Início de sessão do SO.
Configuração da VM
Quando ativa o Início de sessão do SO, o Compute Engine elimina os ficheiros authorized_keys
da VM e configura um servidor OpenSSH. Este servidor obtém as chaves SSH associadas à conta de utilizador do Linux para autenticar a tentativa de início de sessão.
Pode configurar um ficheiro authorized_keys para aprovisionar o acesso de uma conta de utilizador local, mesmo quando o Início de sessão do SO está ativado. As chaves públicas de SSH configuradas no ficheiro authorized_keys são usadas para autenticar as tentativas de início de sessão do utilizador local. As contas de utilizadores locais e os utilizadores do Início de sessão do SO têm de ter nomes de utilizador e UIDs diferentes.
Para mais informações sobre os componentes do Início de sessão do SO, reveja a página do GitHub do Início de sessão do SO.
Configuração da conta de utilizador
O Início de sessão do SO configura a sua Conta Google com informações POSIX, incluindo um nome de utilizador, quando faz qualquer uma das seguintes ações:
- Estabeleça ligação a uma VM com o Início de sessão do SO ativado através da Google Cloud consola
- Estabeleça ligação a uma VM com o Início de sessão do SO ativado através da CLI gcloud
- Importe uma chave pública de SSH através da CLI gcloud
- Importe uma chave pública de SSH através da API OS Login
O Início de sessão do SO configura contas POSIX com os seguintes valores:
Nome de utilizador: um nome de utilizador no formato de
USERNAME_DOMAIN_SUFFIX. Se o utilizador for de uma organização do Google Workspace diferente da que aloja as VMs com início de sessão do SO ativado, o respetivo nome de utilizador tem o prefixoext_. Se o utilizador for uma conta de serviço, o respetivo nome de utilizador tem o prefixosa_.Os administradores do Cloud ID podem modificar os nomes de utilizador e os superadministradores do Google Workspace podem alterar o formato do nome de utilizador para remover o sufixo do domínio.
UID: um ID do utilizador exclusivo gerado aleatoriamente em conformidade com POSIX.
GID: um ID do grupo compatível com POSIX que é igual ao UID.
Diretório inicial: o caminho para o diretório inicial do utilizador.
Os administradores organizacionais podem configurar e atualizar as informações da conta POSIX de um utilizador. Para mais informações, consulte o artigo Modifique contas de utilizador através da API Directory.
O que se segue?
- Para ver instruções passo a passo, reveja uma das seguintes opções:
- Reveja o artigo Gerir o Início de sessão do SO numa organização
- Resolva problemas com o Início de sessão do SO.