In diesem Dokument wird die Fehlerbehebung für OS Login mithilfe des Metadatenservers beschrieben. Informationen zum Einrichten von OS Login und eine detaillierte Anleitung finden Sie unter OS Login einrichten.
Sie können den Metadatenserver von einer VM-Instanz aus abfragen. Weitere Informationen finden Sie unter Metadaten einer Instanz speichern und abrufen.
Hinweise
-
Richten Sie die Authentifizierung ein, falls Sie dies noch nicht getan haben.
Bei der Authentifizierung wird Ihre Identität für den Zugriff auf Google Cloud Dienste und APIs überprüft.
Zur Ausführung von Code oder Beispielen aus einer lokalen Entwicklungsumgebung können Sie sich bei Compute Engine authentifizieren. Wählen Sie dazu eine der folgenden Optionen aus:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init - Set a default region and zone.
- Stellen Sie das gelöschte Konto wieder her.
- Entfernen Sie die POSIX-Informationen des Kontos, bevor Sie es löschen.
Führen Sie den Befehl
gcloud compute os-login describe-profileaus, um Ihr OS Login-Profil aufzurufen:gcloud compute os-login describe-profile
Die Ausgabe sieht dann ungefähr so aus:
name: '00000000000000' posixAccounts: ... sshPublicKeys: ...: fingerprint: ... key: | ssh-rsa AAAAB3NzaC1yc2... name: ... ...Sehen Sie sich die Ausgabe an, um nicht verwendete SSH-Schlüssel zu identifizieren.
Entfernen Sie alle nicht verwendeten Schlüssel mit dem Befehl
gcloud compute os-login ssh-keys removeaus der Ausgabe:gcloud compute os-login ssh-keys remove --key=KEY
Ersetzen Sie
KEYdurch den Fingerabdruck oder den Schlüsselstring des Schlüssels.- Implementieren Sie einen Wiederholungsmechanismus im Anwendungscode. Weitere Informationen finden Sie unter:
- Vorhandene SSH-Verbindungen wiederverwenden.
- Befehle in Batches senden, um SSH-Verbindungen und OS Login-Metadatenabfragen zu reduzieren.
Fragen Sie das Nutzerprofil ab, um den Wert des Felds
namezu erhalten:curl "http://metadata.google.internal/computeMetadata/v1/oslogin/users?username=user_example_com" -H "Metadata-Flavor: Google"
Notieren Sie sich in der Ausgabe die
name.Führen Sie den folgenden
login-Befehl mit dem Wert vonnameaus:curl "http://metadata.google.internal/computeMetadata/v1/oslogin/authorize?policy=login&email=LOGIN_NAME" -H "Metadata-Flavor: Google"
- Mehr zu OS Login
- Mehr darüber erfahren, wie SSH-Verbindungen zu Linux-VMs in Compute Engine funktionieren.
- Schritt-für-Schritt-Anleitungen erhalten Sie in einem der folgenden Abschnitte:
- OS Login in einer Organisation verwalten
REST
Verwenden Sie die von der gcloud CLI bereitgestellten Anmeldedaten, um die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung zu verwenden.
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud initWeitere Informationen finden Sie unter Für die Verwendung von REST authentifizieren in der Dokumentation zur Google Cloud-Authentifizierung.
Häufige Fehlermeldungen
Im Folgenden finden Sie Beispiele für häufige Fehler, die bei der Verwendung von OS Login auftreten können.
Name für Gruppe nicht gefunden
Auf einigen VMs, die OS Login verwenden, erhalten Sie die folgende Fehlermeldung, nachdem die Verbindung hergestellt wurde:
/usr/bin/id: cannot find name for group ID 123456789
Ignorieren Sie die Fehlermeldung. Dieser Fehler wirkt sich nicht auf Ihre VMs aus.
Fehler beim Abrufen von Gruppen
Beim Erstellen von VMs werden möglicherweise Logs wie die folgenden angezeigt:
Dec 10 22:31:05 instance-1 google_oslogin_nss_cache[381]: oslogin_cache_refresh[381]: Refreshing group entry cache Dec 10 22:31:05 instance-1 google_oslogin_nss_cache[381]: oslogin_cache_refresh[381]: Failure getting groups, quitting
Diese Logs geben an, dass für Ihre Organisation keine OS Login-Linux-Gruppen konfiguriert sind. Ignorieren Sie diese Nachrichten.
Nicht erfüllte Voraussetzung
Wenn Sie eine Verbindung zur VM über SSH herstellen, wird möglicherweise eine Fehlermeldung ähnlich der folgenden angezeigt:
ERROR: (gcloud.compute.ssh) FAILED_PRECONDITION: The specified username or UID is not unique within given system ID.
Dieser Fehler tritt auf, wenn OS Login versucht, einen Nutzernamen zu generieren, der bereits in einer Organisation vorhanden ist. Das ist häufig der Fall, wenn ein Nutzerkonto gelöscht und kurz darauf ein neuer Nutzer mit derselben E-Mail-Adresse erstellt wird. Nachdem ein Nutzerkonto gelöscht wurde, dauert es bis zu 48 Stunden, bis die POSIX-Informationen des Nutzers entfernt werden.
Führen Sie einen der folgenden Schritte aus, um das Problem zu lösen:
Ungültiges Argument
Wenn Sie eine SSH-Verbindung zu einer VM herstellen oder Dateien mit SCP übertragen, werden möglicherweise ähnliche Fehler wie die folgenden angezeigt:
ERROR: (gcloud.compute.ssh) INVALID_ARGUMENT: Login profile size exceeds 32 KiB. Delete profile values to make additional space.
ERROR: (gcloud.compute.scp) INVALID_ARGUMENT: Login profile size exceeds 32 KiB. Delete profile values to make additional space.
So beheben Sie diese Fehler:
Um dieses Problem in Zukunft zu vermeiden, fügen Sie eine Ablaufzeit für SSH-Schlüssel hinzu. Abgelaufene Schlüssel werden 48 Stunden nach Ablauf oder wenn Sie Ihrem Profil einen neuen Schlüssel hinzufügen, automatisch aus Ihrem Anmeldeprofil entfernt.
HTTP-Antwortcode: 429
Wenn Sie versuchen, über SSH eine Verbindung zu einer VM herzustellen, wird möglicherweise der folgende Fehler angezeigt:
Failed to validate organization user USERNAME has login permission, got HTTP response code: 429
Dieses Problem wird durch die Ratenbegrenzung des Metadatenservers von 100 Anfragen pro Sekunde und virtueller Maschine verursacht. Dieses Limit kann nicht angepasst werden. Warten Sie einige Sekunden und versuchen Sie dann noch einmal, die Verbindung herzustellen.
So vermeiden Sie dieses Problem in Zukunft:
Standardmäßige OS Login-Metadateneinträge
Compute Engine definiert eine Reihe von standardmäßigen Metadateneinträgen, die OS Login-Informationen bereitstellen. Die Standardmetadaten werden immer vom Server definiert und festgelegt. Bei Standard-Metadatenschlüsseln wird zwischen Groß- und Kleinschreibung unterschieden.
In der folgenden Tabelle werden die Einträge beschrieben, die Sie abfragen können.
Relativ zu http://metadata.google.internal/computeMetadata/v1/Metadateneintrag Beschreibung project/attributes/enable-osloginPrüft, ob OS Login für das aktuelle Google Cloud-Projekt aktiviert ist. instance/attributes/enable-osloginPrüft, ob OS Login auf der aktuellen VM aktiviert ist. oslogin/users/Ruft Profilinformationen für OS Login-Nutzer ab. Sie können Abfrageparameter wie username,uid,pagesizeundpagetokenübergeben.oslogin/authorize/Ruft die Berechtigungseinstellungen auf Anmelde- oder Administratorebene für einen OS Login-Nutzer ab.
Zum Prüfen einer Berechtigung müssen Sie den Abfrageparameter
policyangeben. Der Wert des Richtlinienparameters muss entweder auflogin(zur Überprüfung der Anmeldeberechtigung) oder aufadminLogin(zur Prüfung auf sudo-Zugriff) festgelegt werden.Konfiguration von OS Login prüfen
Verwenden Sie die Google Cloud Console oder die Google Cloud-Befehlszeile, um Metadaten abzufragen und festzustellen, ob OS Login aktiviert ist. OS Login ist aktiviert, wenn der Metadatenschlüssel
enable-osloginin den Metadaten des Projekts oder der Instanz aufTRUEgesetzt ist. Wenn sowohl Instanz- als auch Projektmetadaten festgelegt sind, hat der in den Instanzmetadaten festgelegte Wert Vorrang.OS Login-Nutzer ansehen
Wenn Sie die Profilinformationen für mehrere Nutzer anzeigen lassen möchten, müssen Sie die Parameter
pagesizeundpagetokenangeben. Ersetzen Siepagesizeundpagetokendurch den erforderlichen numerischen Wert.curl "http://metadata.google.internal/computeMetadata/v1/oslogin/users?pagesize=PAGE_SIZE& pagetoken=PAGE_TOKEN" -H "Metadata-Flavor: Google"
Führen Sie den folgenden Befehl aus, um beispielsweise
pagesizeauf1undpagetokenauf0zu setzen:curl "http://metadata.google.internal/computeMetadata/v1/oslogin/users?pagesize=1&pagetoken=0" -H "Metadata-Flavor: Google"
Auf den meisten Distributionen können Sie auch den Unix-Befehl
getent passwdausführen, um die Passworteinträge für Organisationsnutzer abzurufen.Bestimmten OS Login-Nutzer ansehen
Führen Sie den folgenden Befehl aus, um die Profilinformationen für einen bestimmten Nutzer auf Ihrer VM anzusehen.
curl "http://metadata.google.internal/computeMetadata/v1/oslogin/users?username=USERNAME" -H "Metadata-Flavor: Google"
Ersetzen Sie
USERNAMEdurch den Nutzernamen des Nutzers, den Sie abfragen möchten.Sie können beispielsweise eine Anfrage senden, um den Nutzer
user_example_comzu suchen. Der folgende Befehl und die folgende Ausgabe zeigen eine zusätzliche Formatierung für eine bessere Lesbarkeit.curl "http://metadata.google.internal/computeMetadata/v1/oslogin/users?username=user_example_com" -H "Metadata-Flavor: Google"
Die Ausgabe sieht etwa so aus:
{ "loginProfiles": [{ "name": "12345678912345", "posixAccounts": [{ "primary": true, "username": "user_example_com", "uid": "123451", "gid": "123451", "homeDirectory": "/home/user_example_com", "operatingSystemType": "LINUX" }], "sshPublicKeys": { "204c4b4fb...": { "key": "ssh-rsa AAAAB3Nz...", "fingerprint": "204c4b4fb..." } } }] }Auf den meisten Distributionen können Sie auch Unix-Befehle wie
getent passwd usernameodergetent passwd uidausführen, um Profilinformationen abzurufen.Zum Abrufen der SSH-Schlüssel für einen Nutzer können Sie auch
/usr/bin/google_authorized_keys USERNAMEausführen. Wenn keine Schlüssel zurückgegeben werden, hat der Nutzer möglicherweise nicht die erforderlichen Berechtigungen, um sich bei der VM anzumelden.Anmeldeberechtigungen prüfen
Zum Anzeigen von Berechtigungen auf Anmelde- und Administratorebene müssen Sie die Abfrageparameter
policy=login&email=LOGIN_NAMEangeben.Sie können beispielsweise die Anmeldeberechtigungen für den Nutzer
user_example_comabfragen, der im vorherigen Abschnitt angezeigt wurde.curl "http://metadata.google.internal/computeMetadata/v1/oslogin/authorize?policy=login&email=12345678912345" -H "Metadata-Flavor: Google"
Die Befehlsausgabe gibt an, dass der Nutzer berechtigt ist, sich bei der VM anzumelden:
{"success":true}Prüfen, ob VM ein Dienstkonto hat
Sie können den Metadatenserver abfragen, um das mit Ihrer VM verknüpfte Dienstkonto zu finden. Führen Sie auf Ihrer VM den folgenden Befehl aus:
curl "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/" -H "Metadata-Flavor: Google"
Die Ausgabe sieht etwa so aus:
12345-sa@developer.gserviceaccount.com/ default/
Wenn kein Dienstkonto gefunden wird, ist die Ausgabe leer.
Nächste Schritte
Sofern nicht anders angegeben, sind die Inhalte dieser Seite unter der Creative Commons Attribution 4.0 License und Codebeispiele unter der Apache 2.0 License lizenziert. Weitere Informationen finden Sie in den Websiterichtlinien von Google Developers. Java ist eine eingetragene Marke von Oracle und/oder seinen Partnern.
Zuletzt aktualisiert: 2025-02-12 (UTC).
-