Informazioni su OS Login

---

Questa pagina descrive il servizio OS Login e il suo funzionamento. Per scoprire come configurare OS Login, vedi Configura OS Login.

Utilizza OS Login per gestire l'accesso SSH alle istanze utilizzando IAM senza dover creare e gestire singole chiavi SSH. OS Login mantiene un'identità utente Linux coerente tra le istanze VM ed è il modo consigliato per gestire molti utenti in più VM o progetti.

Vantaggi di OS Login

OS Login semplifica la gestione dell'accesso SSH collegando il tuo account utente Linux alla tua identità Google. Gli amministratori possono gestire facilmente l'accesso alle istanze a livello di istanza o di progetto impostando le autorizzazioni IAM.

OS Login offre i seguenti vantaggi:

• Gestione automatica del ciclo di vita degli account Linux: puoi collegare direttamente un account utente Linux all'identità Google di un utente in modo che le stesse informazioni dell'account Linux vengano utilizzate in tutte le istanze dello stesso progetto o organizzazione.

• Autorizzazione granulare tramite Google IAM: gli amministratori a livello di progetto e di istanza possono utilizzare IAM per concedere l'accesso SSH all'identità Google di un utente senza concedere un insieme più ampio di privilegi. Ad esempio, puoi concedere a un utente le autorizzazioni per accedere al sistema, ma non la possibilità di eseguire comandi come sudo. Google controlla queste autorizzazioni per determinare se un utente può accedere a un'istanza VM.

• Aggiornamenti automatici delle autorizzazioni: con OS Login, le autorizzazioni vengono aggiornate automaticamente quando un amministratore modifica le autorizzazioni IAM. Ad esempio, se rimuovi le autorizzazioni IAM da un'identità Google, l'accesso alle istanze VM viene revocato. Google controlla le autorizzazioni per ogni tentativo di accesso per impedire l'accesso indesiderato.

• Possibilità di importare account Linux esistenti: gli amministratori possono scegliere di sincronizzare facoltativamente le informazioni dell'account Linux da Active Directory (AD) e Lightweight Directory Access Protocol (LDAP) che sono configurati on-premise. Ad esempio, puoi assicurarti che gli utenti abbiano lo stesso ID utente (UID) sia nel cloud sia negli ambienti on-premise.

• Integrazione con la verifica in due passaggi dell'Account Google: se vuoi, puoi richiedere agli utenti di OS Login di convalidare la propria identità utilizzando uno dei seguenti metodi di verifica in due passaggi (2FA) o tipi di verifica quando si connettono alle VM:

  • Google Authenticator
  • Verifica tramite messaggio di testo o chiamata telefonica
  • Richieste sullo smartphone
  • Password monouso (OTP) del token di sicurezza

• Supporto dell'autenticazione basata su certificati (anteprima): puoi utilizzare l'autenticazione basata su certificati SSH per connetterti alle VM che utilizzano OS Login. Per ulteriori informazioni, vedi Richiedi certificati SSH con OS Login.

• Integrazione con l'audit logging: OS Login fornisce l'audit logging che puoi utilizzare per monitorare le connessioni alle VM per gli utenti di OS Login.

Come funziona OS Login

Quando OS Login è abilitato, Compute Engine esegue configurazioni sulle VM e sugli Account Google degli utenti di OS Login.

Configurazione della VM

Quando abiliti OS Login, Compute Engine elimina i file authorized_keys della VM e configura un server OpenSSH. Questo server recupera le chiavi SSH associate all'account utente Linux per autenticare il tentativo di accesso.

Puoi configurare un file authorized_keys per eseguire il provisioning dell'accesso per un account utente locale anche quando è abilitato l'accesso al sistema operativo. Le chiavi pubbliche SSH configurate nel file authorized_keys vengono utilizzate per autenticare i tentativi di accesso dell'utente locale. Gli account utente locali e gli utenti OS Login devono avere nomi utente e UID diversi.

Per ulteriori informazioni sui componenti di OS Login, consulta la pagina GitHub di OS Login.

Configurazione dell'account utente

OS Login configura il tuo Account Google con i dati POSIX, incluso un nome utente, quando esegui una delle seguenti operazioni:

• Connettiti a una VM abilitata per OS Login utilizzando la console Google Cloud
• Connettiti a una VM con OS Login abilitato utilizzando gcloud CLI
• Importa una chiave SSH pubblica utilizzando gcloud CLI
• Importa una chiave SSH pubblica utilizzando l'API OS Login

OS Login configura gli account POSIX con i seguenti valori:

• Nome utente:un nome utente nel formato USERNAME_DOMAIN_SUFFIX. Se l'utente appartiene a un'organizzazione Google Workspace diversa da quella che ospita le VM con OS Login abilitato, il suo nome utente è preceduto da ext_. Se l'utente è un account di servizio, il suo nome utente è preceduto da sa_.

  Gli amministratori di Cloud Identity possono modificare i nomi utente e i super amministratori Google Workspace possono modificare il formato del nome utente per rimuovere il suffisso del dominio.

• UID:un ID utente unico, generato in modo casuale e conforme a POSIX.

• GID: un ID gruppo conforme a POSIX uguale all'UID.

• Home directory:il percorso della home directory dell'utente.

Gli amministratori dell'organizzazione possono configurare e aggiornare le informazioni dell'account POSIX di un utente. Per ulteriori informazioni, consulta Modificare gli account utente utilizzando l'API Directory.

Passaggi successivi

• Per istruzioni passo passo, consulta una delle seguenti risorse:
  • Configurazione di OS Login.
  • Configurazione di OS Login con la verifica in due passaggi
• Consulta Gestione di OS Login in un'organizzazione
• Risolvi i problemi relativi a OS Login.