Sobre o Login do SO

Nesta página, descrevemos o serviço Login do SO e como ele funciona. Para saber como configurar o Login do SO, consulte este link.

Use o Login do SO para gerenciar o acesso SSH às instâncias usando o IAM, sem ter que criar e gerenciar chaves SSH individuais. O Login do SO mantém uma identidade de usuário consistente do Linux nas instâncias de VM e é o método recomendado para gerenciar muitos usuários em várias VMs ou projetos.

Benefícios do Login do SO

O Login do SO simplifica o gerenciamento do acesso SSH porque vincula sua conta de usuário do Linux à sua identidade do Google. Os administradores podem gerenciar facilmente o acesso a instâncias no nível da instância ou do projeto, definindo permissões do IAM.

O login do SO oferece os seguintes benefícios:

• Gerenciamento automático do ciclo de vida da conta do Linux: vincule diretamente uma conta de usuário do Linux à identidade de um usuário do Google para que as mesmas informações sejam usadas em todas as instâncias no mesmo projeto ou organização.

• Autorização detalhada com o Google IAM: os administradores no nível do projeto e da instância podem usar o IAM para conceder acesso SSH à identidade de um usuário do Google sem conceder um conjunto mais amplo de privilégios. Por exemplo, é possível conceder a um usuário permissões para fazer login no sistema, mas não a capacidade de executar comandos como sudo. O Google verifica essas permissões para determinar se um usuário pode fazer login em uma instância de VM.

• Atualizações automáticas de permissões: com o Login do SO, as permissões são atualizadas automaticamente quando um administrador altera as permissões do IAM. Por exemplo, se você remover as permissões do IAM de uma identidade do Google, o acesso às instâncias de VM será revogado. O Google verifica as permissões em cada tentativa de login para impedir acessos não autorizados.

• Capacidade de importar contas atuais do Linux: os administradores podem sincronizar as informações da conta do Linux do Active Directory (AD) e do protocolo Lightweight Directory Access Protocol (LDAP) que são configurados no local. Por exemplo, é possível garantir que os usuários tenham o mesmo ID do usuário (UID, sigla em inglês) nos ambientes local e do Cloud.

• Integração com a verificação em duas etapas da Conta do Google: você pode exigir que os usuários do Login do SO validem a própria identidade usando um dos métodos de verificação em duas etapas (autenticação de dois fatores) ou tipos de desafio abaixo ao se conectarem a VMs:

  • Google Authenticator
  • Verificação por mensagem de texto ou chamada telefônica
  • Prompts do smartphone
  • Senha única da chave de segurança (OTP)

• Suporte para autenticação com base no certificado: é possível usar a autenticação de certificado SSH para se conectar a VMs que usam o Login do SO. Para mais informações, consulte Exigir certificados SSH com o Login do SO.

• Integração com o registro de auditoria: o Login do SO fornece um registro de auditoria que pode ser usado para monitorar conexões de usuários do Login do SO com VMs.

Como o Login do SO funciona

Quando o Login do SO está ativado, o Compute Engine executa as configurações nas VMs e nas Contas do Google dos usuários do Login do SO.

Configuração de VMs

Quando você ativa o Login do SO, a VM busca as chaves SSH associadas à conta de usuário do Linux no serviço para autenticar uma tentativa de login.

É possível configurar um arquivo authorized_keys para provisionar o acesso a uma conta de usuário local, mesmo quando o Login do SO está ativado. As chaves públicas SSH configuradas no arquivo authorized_keys são usadas para autenticar as tentativas de login do usuário local. As contas de usuário locais e os usuários do Login do SO precisam ter nomes de usuário e UIDs diferentes.

Para mais informações sobre os componentes do Login do SO, consulte a página do Login do SO no GitHub.

Configuração da conta de usuário

O Login do SO configura sua Conta do Google com informações no formato POSIX, inclusive um nome de usuário, quando você realiza uma destas ações:

• Conectar-se a uma VM habilitada para Login do SO usando o console do Google Cloud .
• Conectar-se a uma VM habilitada para Login do SO usando a gcloud CLI.
• Importar uma chave SSH pública usando a gcloud CLI.
• Importar uma chave SSH pública usando a API OS Login.

O Login do SO configura contas no formato POSIX com os seguintes valores:

• Nome de usuário: um nome de usuário no formato USERNAME_DOMAIN_SUFFIX. Se o usuário for de uma organização do Google Workspace diferente daquela que hospeda as VMs habilitadas para Login do SO, o nome de usuário dele terá ext_ como prefixo. Se o usuário for uma conta de serviço, o nome de usuário dele terá sa_ como prefixo. Os nomes de usuário não podem ter mais de 32 caracteres. Aqueles que tiverem mais de 32 caracteres serão truncados.

  Os administradores do Cloud Identity podem modificar nomes de usuário e os superadministradores do Google Workspace podem alterar o formato de nomes de usuário para remover o sufixo de domínio.

• UID: um ID do usuário exclusivo, gerado aleatoriamente e aceito pelo formato POSIX.

• GID: um ID de grupo aceito pelo formato POSIX que é igual ao UID.

• Diretório inicial: o caminho para o diretório inicial do usuário.

Os administradores de organizações podem configurar e atualizar as informações da conta em formato POSIX de um usuário. Para mais informações, consulte Modificar contas de usuário usando a API Directory.

A seguir

• Para instruções detalhadas, siga um dos seguintes procedimentos:
  • Como configurar o Login do SO
  • Como configurar o Login do SO com a verificação em duas etapas
• Confira Como gerenciar o Login do SO em uma organização.
• Resolver problemas do Login do SO.