OS Login

Cette page présente le service OS Login et son fonctionnement. Pour plus d'informations sur la configuration d'OS Login ou pour obtenir des instructions détaillées, consultez la section Configurer OS Login ou Configurer OS Login avec la validation en deux étapes.

Utilisez OS Login pour gérer l'accès SSH à vos instances à l'aide d'IAM, sans avoir à créer et gérer des clés SSH individuelles. La connexion au système d'exploitation maintient une identité d'utilisateur Linux cohérente sur toutes les instances de VM et constitue le moyen privilégié de gérer de nombreux utilisateurs sur plusieurs instances ou projets.

Avantages de la connexion au système d'exploitation

La connexion au système d'exploitation simplifie la gestion des accès SSH en associant votre compte utilisateur Linux à votre identité Google. Les administrateurs peuvent facilement gérer l'accès aux instances, au niveau d'une instance ou d'un projet en définissant des autorisations IAM.

La connexion au système d'exploitation offre les avantages suivants :

  • Gestion automatique du cycle de vie d'un compte Linux : vous pouvez associer directement un compte utilisateur Linux à l'identité Google d'un utilisateur, de sorte que les informations de compte Linux soient utilisées dans toutes les instances du même projet ou de la même organisation.

  • Attribution d'autorisations précises à l'aide de Google IAM : les administrateurs de projets et d'instances peuvent utiliser IAM pour autoriser l'accès SSH à l'identité Google d'un utilisateur, sans étendre les droits dont il dispose. Par exemple, vous pouvez autoriser un utilisateur à se connecter au système, mais pas à exécuter des commandes telles que sudo. Google vérifie ces autorisations pour déterminer si un utilisateur peut se connecter à une instance de VM.

  • Mises à jour automatiques des autorisations : avec OS Login, les autorisations sont mises à jour automatiquement lorsqu'un administrateur modifie les autorisations IAM. Par exemple, si vous supprimez les autorisations IAM d'une identité Google, l'accès aux instances de VM est alors révoqué. Google vérifie les autorisations pour chaque tentative de connexion afin d'empêcher les accès indésirables.

  • Possibilité d'importer des comptes Linux existants : les administrateurs peuvent éventuellement choisir de synchroniser les informations de compte Linux à partir d'Active Directory (AD) et du protocole LDAP (Lightweight Directory Access Protocol) configurés sur site. Par exemple, vous pouvez vous assurer que les utilisateurs ont le même identifiant utilisateur (UID) dans vos environnements Cloud et sur site.

Fonctionnement de la connexion au système d'exploitation

Les images publiques fournies par Google incluent des utilitaires et des composants permettant de gérer l'accès aux VM. Lorsque vous activez OS Login, un script d'assistance active ces composants et effectue les configurations suivantes :

  • Configuration d'un serveur OpenSSH avec l'option AuthorizedKeysCommand. Cette commande extrait les clés SSH associées au compte utilisateur Linux pour authentifier la tentative de connexion.
  • Configuration de la fonctionnalité NSS (Name Service Switch) pour fournir les informations d'utilisateur OS Login au système d'exploitation.
  • Ajoute un ensemble de configurations Pluggable Authentication Modules (PAM) pour autoriser la connexion des utilisateurs. Les configurations PAM effectuent des contrôles d'autorisation IAM pour la connexion et l'accès administrateur. Ces configurations PAM effectuent également d'autres tâches, telles que la configuration du répertoire de base du compte utilisateur Linux.

Pour en savoir plus sur les composants de connexion au système d'exploitation, consultez la page GitHub de connexion au système d'exploitation.

Étapes suivantes