OS Login

---

Auf dieser Seite werden der OS Login-Dienst und seine Funktionsweise beschrieben. Informationen zum Einrichten von OS Login finden Sie unter OS Login einrichten.

Mit OS Login können Sie den SSH-Zugriff auf Ihre Instanzen mithilfe von IAM verwalten, ohne einzelne SSH-Schlüssel erstellen und verwalten zu müssen. OS Login verwendet VM-instanzübergreifend eine konsistente Linux-Nutzeridentität und wird empfohlen, wenn es darum geht, viele Nutzer über mehrere VMs oder Projekte hinweg zu verwalten.

Vorteile von OS Login

OS Login vereinfacht die Verwaltung des SSH-Zugriffs, weil Ihr Linux-Nutzerkonto mit Ihrer Google-Identität verknüpft wird. Administratoren können den Zugriff auf Instanzen auf Instanz- oder Projektebene einfach dadurch verwalten, dass sie IAM-Berechtigungen festlegen.

OS Login bietet folgende Vorteile:

• Automatisches Lebenszyklusmanagement für Linux-Konten: Sie können ein Linux-Nutzerkonto direkt an die Google-Identität eines Nutzers binden. Dadurch werden für alle Instanzen in demselben Projekt oder in derselben Organisation die gleichen Linux-Kontodaten verwendet.

• Detailgenaue Autorisierung mit Google IAM: Administratoren auf Projekt- und Instanzebene können der Google-Identität eines Nutzers mit IAM SSH-Zugriff gewähren, ohne dass umfassendere Berechtigungen erteilt werden. Beispielsweise können Sie einem Nutzer Berechtigungen zur Anmeldung im System erteilen, ohne ihm dabei die Möglichkeit zu bieten, Befehle wie sudo auszuführen. Google überprüft diese Berechtigungen, um festzustellen, ob sich ein Nutzer bei einer VM-Instanz anmelden kann.

• Automatische Aktualisierungen von Berechtigungen: Bei OS Login werden Berechtigungen automatisch aktualisiert, wenn ein Administrator die IAM-Berechtigungen ändert. Wenn Sie beispielsweise einer Google-Identität IAM-Berechtigungen entziehen, wird der Zugriff auf VM-Instanzen gesperrt. Google prüft bei jedem Anmeldeversuch die Berechtigungen, um unerwünschten Zugriff zu verhindern.

• Importmöglichkeit für vorhandene Linux-Konten: Administratoren können optional Linux-Kontodaten aus Active Directory (AD) und LDAP (Lightweight Directory Access Protocol), die lokal eingerichtet sind, synchronisieren. So können Sie beispielsweise dafür sorgen, dass Nutzer sowohl in Ihrer Cloud als auch in lokalen Umgebungen dieselbe Nutzer-ID (UID) haben.

• Integration mit Bestätigung in zwei Schritten des Google-Kontos: Sie können optional festlegen, dass OS Login-Nutzer ihre Identität mithilfe einer der folgenden zweistufigen Bestätigungsmethoden oder Identitätsbestätigungen validieren, wenn sie eine Verbindung zu VMs herstellen:

  • Google Authenticator
  • Überprüfung per SMS oder Telefonanruf
  • Smartphone-Aufforderungen
  • Einmalpasswort (OTP) mit Sicherheitsschlüssel

• Integration mit Audit-Logging: OS Login bietet Audit-Logging, mit dem Sie Verbindungen zu VMs für OS Login-Nutzer überwachen können.

So funktioniert OS Login

Wenn OS Login aktiviert ist, führt Compute Engine Konfigurationen auf VMs und den Google-Konten von OS Login-Nutzern aus.

VM-Konfiguration

In den öffentlichen Images von Google sind Dienstprogramme und Komponenten zum Verwalten des VM-Zugriffs enthalten. Wenn Sie OS Login aktivieren, werden die folgenden Komponenten und Konfigurationen auf der VM eingerichtet:

• Löscht die authorized_keys-Dateien der VM.

• Konfiguriert einen OpenSSH-Server mit der Option AuthorizedKeysCommand. Dieser Befehl ruft die dem Linux-Nutzerkonto zugeordneten SSH-Schlüssel ab und authentifiziert damit den Anmeldeversuch.

• Die Funktion NSS (Name Service Switch) wird konfiguriert. Sie stellt die Nutzerinformationen aus OS Login für das Betriebssystem bereit.

• Ein Satz von PAM-Konfigurationen (Plugable Authentication Modules) wird hinzugefügt. Mit ihnen wird die Nutzeranmeldung autorisiert. PAM-Konfigurationen dienen zum Prüfen von IAM-Berechtigungen für den Anmelde- und Administratorzugriff. Diese PAM-Konfigurationen werden auch für andere Aufgaben eingesetzt, z. B. das Einrichten des Basisverzeichnisses für das Linux-Nutzerkonto.

Weitere Informationen zu den OS Login-Komponenten finden Sie auf der GitHub-Seite für OS Login.

Nutzerkontokonfiguration

OS Login konfiguriert Ihr Google-Konto mit POSIX-Informationen, einschließlich eines Nutzernamens, wenn eine der folgenden Aktionen ausgeführt wird:

• Verbindung zu einer OS Login-VM mit der Cloud Console herstellen
• Verbindung zu einer OS Login-VM über die gcloud CLI herstellen
• Öffentlichen SSH-Schlüssel mithilfe der gcloud CL importieren
• Öffentlichen SSH-Schlüssel mit der OS Login API importieren

OS Login konfiguriert POSIX-Konten mit folgenden Werten:

• Nutzername: Ein Nutzername im Format USERNAME_DOMAIN_SUFFIX. Wenn der Nutzer aus einer anderen Google Workspace-Organisation stammt als der, die seine OS Login-fähigen VMs hostet, wird seinem Nutzernamen das Präfix ext_ vorangestellt. Wenn der Nutzer ein Dienstkonto ist, wird seinem Nutzernamen das Präfix sa_ vorangestellt.

  Cloud Identity-Administratoren können Nutzernamen ändern und Google Workspace-Super Admins können das Format der Nutzernamen ändern, um das Domainsuffix zu entfernen.

• UID: eine eindeutige, zufällig generierte POSIX-konforme Nutzer-ID

• GID: Eine POSIX-konforme Gruppen-ID, die der UID entspricht.

• Basisverzeichnis: Der Pfad zum Basisverzeichnis des Nutzers.

Organisationsadministratoren können die POSIX-Kontoinformationen eines Nutzers konfigurieren und aktualisieren. Weitere Informationen finden Sie unter Nutzerkonten mithilfe der Directory API bearbeiten.

Nächste Schritte

• Schritt-für-Schritt-Anleitungen erhalten Sie in einem der folgenden Abschnitte:
  • OS Login einrichten.
  • OS Login mit Bestätigung in zwei Schritten einrichten
• OS Login in einer Organisation verwalten
• Fehlerbehebung bei OS Login