Sobre o Login do SO


Nesta página, descrevemos o serviço Login do SO e como ele funciona. Para saber como configurar o Login do SO, consulte Configurar o Login do SO.

Use o Login do SO para gerenciar o acesso SSH às instâncias usando o IAM sem ter que criar e gerenciar chaves SSH individuais. O login do SO mantém uma identidade de usuário consistente do Linux nas instâncias de VM e é o método recomendado para gerenciar muitos usuários em várias VMs ou projetos.

Benefícios do Login do SO

O login do SO simplifica o gerenciamento do acesso SSH porque vincula sua conta de usuário do Linux à sua identidade do Google. Os administradores podem gerenciar facilmente o acesso a instâncias no nível da instância ou do projeto, definindo permissões do IAM.

O login do SO oferece os seguintes benefícios:

  • Gerenciamento automático do ciclo de vida da conta do Linux: vincule diretamente uma conta de usuário do Linux à identidade de um usuário do Google para que as mesmas informações sejam usadas em todas as instâncias no mesmo projeto ou organização.

  • Autorização detalhada usando o Google IAM: os administradores no nível do projeto e da instância podem usar o IAM para conceder acesso SSH à identidade do Google de um usuário sem conceder um conjunto mais amplo de privilégios. Por exemplo, é possível conceder a um usuário permissões para fazer login no sistema, mas não a capacidade de executar comandos como sudo. O Google verifica essas permissões para determinar se um usuário pode fazer login em uma instância de VM.

  • Atualizações automáticas de permissões: com o Login do SO, as permissões são atualizadas automaticamente quando um administrador altera as permissões do IAM. Por exemplo, ao remover as permissões do IAM de uma identidade do Google, o acesso às instâncias de VM será revogado. O Google verifica as permissões para cada tentativa de login para impedir acessos indesejados.

  • Capacidade de importar contas atuais do Linux: os administradores podem sincronizar informações da conta do Linux do Active Directory (AD) e do protocolo Lightweight Directory Access Protocol (LDAP) que são configurados no local. Por exemplo, é possível garantir que os usuários tenham o mesmo código do usuário (UID, sigla em inglês) nos ambientes local e em nuvem.

  • Integração com a verificação em duas etapas da Conta do Google: você tem a opção de exigir que os usuários do Login do SO validem a própria identidade usando um dos métodos de verificação em duas etapas ou tipos de desafio a seguir ao se conectarem a VMs:

  • Integração com o registro de auditoria: o Login do SO fornece registro de auditoria que pode ser usado para monitorar conexões com as VMs de usuários do Login do SO.

Como o login do SO funciona

Quando o Login do SO está ativado, o Compute Engine executa as configurações nas VMs e nas Contas do Google dos usuários do Login do SO.

Configuração de VM

As imagens públicas fornecidas pelo Google incluem utilitários e componentes para gerenciar o acesso à VM. Quando você ativa o Login do SO, os seguintes componentes e configurações são configurados na VM:

  • Exclui os arquivos authorized_keys da VM.
  • Configura um servidor OpenSSH com a opção AuthorizedKeysCommand. Esse comando recupera as chaves SSH associadas à conta de usuário do Linux para autenticar a tentativa de login.

  • Configura a funcionalidade de comutador de serviço de nomes (NSS, na sigla em inglês) para fornecer ao sistema operacional as informações de login do usuário.

  • Adiciona um conjunto de configurações de módulos de autenticação plugáveis (PAM) para autorizar o login do usuário. Estas configurações executam verificações de permissão do IAM para login e acesso administrativo. Elas também executam outras tarefas, como configurar o diretório pessoal da conta de usuário do Linux.

Para mais informações sobre os componentes do Login do SO, consulte a página sobre Login do SO no GitHub (em inglês).

Configuração da conta de usuário

O Login do SO configura sua Conta do Google com informações de POSIX, inclusive um nome de usuário, quando você realiza uma das seguintes ações:

  • Conectar-se a uma VM com o Login do SO ativado no console do Google Cloud
  • Conectar-se a uma VM habilitada para Login do SO usando a CLI gcloud
  • Importar uma chave SSH pública usando a CLI gcloud
  • Importar uma chave SSH pública usando a API Login do SO

O Login do SO configura contas POSIX com os seguintes valores:

  • Nome de usuário: um nome de usuário no formato de USERNAME_DOMAIN_SUFFIX. Se o usuário for de uma organização do Google Workspace diferente da que hospeda as VMs ativadas para o Login do SO, o nome de usuário dele será prefixado com ext_. Se o usuário for uma conta de serviço, o nome de usuário dela será prefixado com sa_.

    Os administradores do Cloud Identity podem modificar os nomes de usuário e os superadministradores do Google Workspace podem alterar o formato de nome de usuário para remover o sufixo do domínio.

  • UID: um ID do usuário exclusivo, gerado aleatoriamente compatível com POSIX.

  • GID: um ID de grupo compatível com POSIX que é igual ao UID.

  • Diretório inicial: o caminho para o diretório inicial do usuário.

Os administradores da organização podem configurar e atualizar as informações da conta POSIX de um usuário. Para mais informações, consulte Modificar contas de usuário usando a API Directory.

A seguir