Questo documento descrive come risolvere i problemi relativi a OS Login utilizzando il server di metadati. Per informazioni sulla configurazione di OS Login o per istruzioni passo passo, consulta Configurazione di OS Login.
Puoi eseguire query sul server di metadati dall'interno di un'istanza di macchina virtuale (VM). Per ulteriori informazioni, vedi Archiviazione e recupero dei metadati dell'istanza.
Prima di iniziare
-
Se non l'hai ancora fatto, configura l'autenticazione.
L'autenticazione verifica la tua identità per l'accesso a Google Cloud servizi e API. Per eseguire
codice o esempi da un ambiente di sviluppo locale, puoi autenticarti su
Compute Engine selezionando una delle seguenti opzioni:
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
-
Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il seguente comando:
gcloud initSe utilizzi un provider di identità (IdP) esterno, devi prima accedere alla gcloud CLI con la tua identità federata.
- Set a default region and zone.
REST
Per utilizzare gli esempi di API REST in questa pagina in un ambiente di sviluppo locale, utilizzi le credenziali fornite a gcloud CLI.
Installa Google Cloud CLI. Dopo l'installazione, inizializza Google Cloud CLI eseguendo il seguente comando:
gcloud initSe utilizzi un provider di identità (IdP) esterno, devi prima accedere alla gcloud CLI con la tua identità federata.
Per saperne di più, consulta Autenticarsi per l'utilizzo di REST nella documentazione sull'autenticazione di Google Cloud .
Messaggi di errore comuni
Di seguito sono riportati alcuni esempi di errori comuni che potresti riscontrare quando utilizzi OS Login.
Impossibile trovare il nome del gruppo
In alcune VM che utilizzano OS Login, potresti ricevere il seguente messaggio di errore dopo che la connessione è stata stabilita:
/usr/bin/id: cannot find name for group ID 123456789
Ignora questo messaggio di errore. Questo errore non influisce sulle tue VM.
Errore durante il recupero dei gruppi
Quando crei VM, potresti visualizzare log simili ai seguenti:
Dec 10 22:31:05 instance-1 google_oslogin_nss_cache[381]: oslogin_cache_refresh[381]: Refreshing group entry cache Dec 10 22:31:05 instance-1 google_oslogin_nss_cache[381]: oslogin_cache_refresh[381]: Failure getting groups, quitting
Questi log indicano che la tua organizzazione non ha configurato i gruppi Linux di OS Login. Ignora questi messaggi.
Errore condizione necessaria
Quando ti connetti alla VM utilizzando SSH, potresti visualizzare un errore simile al seguente:
ERROR: (gcloud.compute.ssh) FAILED_PRECONDITION: The specified username or UID is not unique within given system ID.
Questo errore si verifica quando OS Login tenta di generare un nome utente che esiste già all'interno di un'organizzazione. Questo accade spesso quando un account utente viene eliminato e poco dopo viene creato un nuovo utente con lo stesso indirizzo email. Una volta eliminato un account utente, sono necessarie fino a 48 ore per rimuovere le informazioni POSIX dell'utente.
Per risolvere questo problema, procedi in uno dei seguenti modi:
- Ripristina l'account eliminato.
- Rimuovi le informazioni POSIX dell'account prima di eliminarlo.
Argomento non valido
Quando ti connetti a una VM utilizzando SSH o utilizzi SCP per trasferire file, potresti visualizzare errori simili ai seguenti:
ERROR: (gcloud.compute.ssh) INVALID_ARGUMENT: Login profile size exceeds 32 KiB. Delete profile values to make additional space.
ERROR: (gcloud.compute.scp) INVALID_ARGUMENT: Login profile size exceeds 32 KiB. Delete profile values to make additional space.
Per risolvere questi errori:
Visualizza il tuo profilo OS Login eseguendo il comando
gcloud compute os-login describe-profile:gcloud compute os-login describe-profile
L'output è simile al seguente:
name: '00000000000000' posixAccounts: ... sshPublicKeys: ...: fingerprint: ... key: | ssh-rsa AAAAB3NzaC1yc2... name: ... ...Esamina l'output per identificare le chiavi SSH non utilizzate.
Rimuovi le chiavi non utilizzate dall'output utilizzando il comando
gcloud compute os-login ssh-keys remove:gcloud compute os-login ssh-keys remove --key=KEY
Sostituisci
KEYcon l'impronta della chiave o la stringa della chiave.
Per evitare che questo problema si ripresenti in futuro, aggiungi un tempo di scadenza per le chiavi SSH. Le chiavi scadute vengono rimosse automaticamente dal tuo profilo di accesso 48 ore dopo la scadenza o quando aggiungi una nuova chiave al tuo profilo.
Codice di risposta HTTP: 429
Quando provi a connetterti a una VM utilizzando SSH, potresti visualizzare il seguente errore:
Failed to validate organization user USERNAME has login permission, got HTTP response code: 429
Questo problema è causato dal limite di frequenza del server di metadati di 100 query al secondo per istanza di macchina virtuale. Questo limite non può essere modificato. Per risolvere il problema, attendi qualche secondo e riprova a eseguire la connessione.
Per evitare questo problema in futuro, prova quanto segue:
- Implementa un meccanismo di ripetizione nel codice dell'applicazione. Per ulteriori informazioni, vedi:
- Riutilizza le connessioni SSH esistenti.
- Invia i comandi in batch per ridurre le connessioni SSH e le query sui metadati di OS Login.
Voci di metadati OS Login predefinite
Compute Engine definisce un insieme di voci di metadati predefinite che forniscono informazioni su OS Login. I metadati predefiniti sono sempre definiti e impostati dal server. Le chiavi dei metadati predefinite sono sensibili alle maiuscole.
La tabella seguente descrive le voci che puoi interrogare.
Rispetto a http://metadata.google.internal/computeMetadata/v1/Voce dei metadati Descrizione project/attributes/enable-osloginControlla se OS Login è abilitato nel progetto Google Cloud corrente. instance/attributes/enable-osloginControlla se OS Login è abilitato sulla VM attuale. oslogin/users/Recupera le informazioni del profilo per gli utenti di OS Login. Puoi trasmettere parametri di ricerca come username,uid,pagesizeepagetoken.oslogin/authorize/Recupera le impostazioni di autorizzazione a livello di accesso o amministrativo per un utente OS Login.
Per controllare un'autorizzazione, devi specificare il parametro di query
policy. Il valore del parametro del criterio deve essere impostato sulogin(per verificare l'autorizzazione di accesso) oadminLogin(per verificare l'accesso sudo).Verifica della configurazione di OS Login
Utilizza la console Google Cloud o Google Cloud CLI per eseguire query sui metadati per determinare se OS Login è abilitato. OS Login è abilitato quando la chiave dei metadati
enable-osloginè impostata suTRUEnei metadati del progetto o dell'istanza. Se sono impostati sia i metadati dell'istanza sia quelli del progetto, ha la precedenza il valore impostato nei metadati dell'istanza.Visualizzazione degli utenti di OS Login
Per visualizzare le informazioni del profilo per più utenti, devi specificare i parametri
pagesizeepagetoken. Sostituiscipagesizeepagetokencon il valore numerico richiesto.curl "http://metadata.google.internal/computeMetadata/v1/oslogin/users?pagesize=PAGE_SIZE& pagetoken=PAGE_TOKEN" -H "Metadata-Flavor: Google"
Ad esempio, per impostare
pagesizesu1epagetokensu0, esegui questo comando:curl "http://metadata.google.internal/computeMetadata/v1/oslogin/users?pagesize=1&pagetoken=0" -H "Metadata-Flavor: Google"
Nella maggior parte delle distribuzioni, puoi anche eseguire il comando Unix
getent passwdper recuperare le voci della password per gli utenti dell'organizzazione.Visualizzare un utente OS Login specifico
Per visualizzare le informazioni del profilo di un utente specifico sulla tua VM, esegui questo comando:
curl "http://metadata.google.internal/computeMetadata/v1/oslogin/users?username=USERNAME" -H "Metadata-Flavor: Google"
Sostituisci
USERNAMEcon il nome utente dell'utente per cui vuoi eseguire la query.Ad esempio, puoi eseguire una richiesta per cercare l'utente
user_example_com. Il seguente comando e output mostrano la formattazione aggiuntiva per una migliore leggibilità.curl "http://metadata.google.internal/computeMetadata/v1/oslogin/users?username=user_example_com" -H "Metadata-Flavor: Google"
L'output è simile al seguente:
{ "loginProfiles": [{ "name": "12345678912345", "posixAccounts": [{ "primary": true, "username": "user_example_com", "uid": "123451", "gid": "123451", "homeDirectory": "/home/user_example_com", "operatingSystemType": "LINUX" }], "sshPublicKeys": { "204c4b4fb...": { "key": "ssh-rsa AAAAB3Nz...", "fingerprint": "204c4b4fb..." } } }] }Nella maggior parte delle distribuzioni, puoi anche eseguire comandi Unix come
getent passwd usernameogetent passwd uidper recuperare le informazioni del profilo.Per recuperare le chiavi SSH per un utente, puoi anche eseguire
/usr/bin/google_authorized_keys USERNAME. Se non vengono restituite chiavi, l'utente potrebbe non disporre delle autorizzazioni necessarie per accedere alla VM.Controllo delle autorizzazioni di accesso
Per visualizzare le autorizzazioni a livello amministrativo e di accesso, devi fornire i parametri di ricerca
policy=login&email=LOGIN_NAME.Esegui una query sul profilo utente per ottenere il valore del campo
name:curl "http://metadata.google.internal/computeMetadata/v1/oslogin/users?username=user_example_com" -H "Metadata-Flavor: Google"
Nell'output, prendi nota di
name.Esegui questo comando
loginutilizzando il valore diname:curl "http://metadata.google.internal/computeMetadata/v1/oslogin/authorize?policy=login&email=LOGIN_NAME" -H "Metadata-Flavor: Google"
Ad esempio, puoi eseguire una query sulle autorizzazioni di accesso per l'utente
user_example_comvisualizzato nella sezione precedente:curl "http://metadata.google.internal/computeMetadata/v1/oslogin/authorize?policy=login&email=12345678912345" -H "Metadata-Flavor: Google"
L'output del comando indica che l'utente è autorizzato ad accedere alla VM:
{"success":true}Verifica se la VM ha un account di servizio
Puoi eseguire query sul server di metadati per trovare il account di servizio associato alla tua VM. Nella VM, esegui il seguente comando:
curl "http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/" -H "Metadata-Flavor: Google"
L'output è simile al seguente:
12345-sa@developer.gserviceaccount.com/ default/
Se non viene trovato alcun account di servizio, l'output è vuoto.
Passaggi successivi
- Scopri di più su OS Login.
- Scopri come funzionano le connessioni SSH alle VM Linux su Compute Engine.
- Per istruzioni passo passo, consulta una delle seguenti risorse:
- Consulta Gestione di OS Login in un'organizzazione.
Salvo quando diversamente specificato, i contenuti di questa pagina sono concessi in base alla licenza Creative Commons Attribution 4.0, mentre gli esempi di codice sono concessi in base alla licenza Apache 2.0. Per ulteriori dettagli, consulta le norme del sito di Google Developers. Java è un marchio registrato di Oracle e/o delle sue consociate.
Ultimo aggiornamento 2025-09-04 UTC.
-